| |
|
| |||||||
 |
| | Seçenekler |
|
#1
24-11-2007, 06:03
| |||||
| |||||
:: Güvenli kod yazımı:: Güvenli kod yazımı Güvenli Kod Yazımı Yazan : Sanal Programcı Başlama Tarihi : 12 Mart 2003 Kaynak : Writing Secure Code ( Ms Press ) Giriş Selamlar, Bu yazı serisininde, “Güvenli Kod Yazımı” kitabının ( Writing Secure Code ) biraz özet olarak çevirisini bulacaksınız. Özet olan kısmı daha ziyade benim anladığım veya bildiğim konulardan olacak. Bilmediğim bölümlere hiç dokunmayacağım için özetini de çıkartmayacağım. Bu seriyi mümkün olduğu kadar kitabın son bölümüne kadar sürdürmeyi düşünüyorum. Tabii okudukca yazıcam J Eğer yazı ile ilgili düşüncelerinizi belirtmek isterseniz lütfen : adresini kullanın. Tabii mail atarken subject kısmınıda ilgili bir kelime ile doldurursanız sevinirim. Bölüm 1 : Güvenli Sistemlere Duyulan İhtiyaç Internetin büyümesiyle birlikte artık bilgisayarlar birbirleri ile daha sık haberleşmeye başladı. Eskiden her bilgisayar okyanustaki bir ada iken, şimdi nerdeyse bir ağ üzerinden bağ gerçekleştirmeyen bilgisayar kalmamıştır. Önceleri ki belkide programcılar için cennet günleriydi, yazılım içindeki bir hata sonucu belkide oluşacak en kötü şey, kaydedilmemiş verinin kaybıydı. Oysa ki şu andaki yazılım hataları sonucu sistemi tamamen bir üçüncü kişiye teslim edebilirsiniz. Zaman ilerledikçe, bilgisayarlar, kol saatleri, PDA ler, embedded sistemler, televizyonlar, cep telefonları internet üzerinden ( veya özel başka ağlar üzerinden ) diğer araçlarla haberleşmeye başladı. İlk başta yazılımcılar, yepyeni bir pazar, olağanüstü fırsatlar, bir leb-I derya olarak düşündükleri ama biraz işin içine giripte birazda kötü tecrübe yaşandıkça aslında bubi tuzaklarıyla dolu bir sistem olduğunu anladılar. www nin asıl anlamı world wide web ( dünyayı saran ağ ), burada ironi yaparak, wild wild web ( vahşi vahşi ağ ) denmiştir. Önemli Not : Hiçbir zaman benim uygulamam, internet ortamında veya ağ ortamında çalışmayacak gibi tahminlerde bulunmayın. Bunun yerine kodunuzun, internetin tam ortasında hatta ateşduvarınında önünde olduğunu düşünün Aslında güvenli kod yazımı için ilk adım, sistemi dizayn ederken, güvenlik unsurlarınıda düşünerek tasarlamaktır. Önceden güvenlik unsurları düşünülerek tasarlanmış sistemler, sistem bitirildikten sonra güvenlik unsurları katılan sistemlerden her zaman daha güvenli olmuştur. Güvenli tasarım ve güvenli kod her zaman kaliteli sistemlerdir. Kod yazarken kaliteden ödün vermeyin. Internet üzerinden çalışan sistemler Genelde güvenlik işiyle uğraşan sistemciler, bir bilgisayarı gizlice internete çıkartıp buna gelen saldırıları bekler ve inceler. Bu tip bilgisayarlara honeypot denir. Buradaki amaç ++++++lerin ( lamer vs vs ) hangi yeni yöntemleri denediğini görmektir. Bu konuda ilginç bir örnek Microsoft firmasından şöyle verilmektedir. Windows 2000 üretilip, piyasa sürülmeden once, henüz test çalışmaları yapılırken honeypot bir sistem kurulmuştur. Microsoft gizlice bir bilgisayara Windows 2000 yükleyip Cuma günü akşam sistemi IIS kurarak nete bağlamıştır, sistem Pazartesi günü çok yoğun atak altındaydı. Sistem kimseye haber verilmemişti !! Peki sistem nasıl keşfedilmişti ? Devamlı olarak dünyanın birçok yerinden birçok insan, Microsoft firmasının sahip olduğu IP aralığındaki tüm bilgisayarlarda port tarama gerçekleştirir. Bu kişilerde bir tanesi veya muhtemelen çoğu sisteme eklenmiş yeni bilgisayarı hemen keşfettiler. Port taraması sonucunda da 80 nolu port bulununca bunun bir web server olduğu anlaşıldı. HTTP HEAD request kısmını okuyarakda bunun IIS 5 olduğunu ortaya çıkardı, fakat Microsoft firması henüz IIS 5 i piyasaya çıkartmamıştı :O) Daha sonar bu ipyi internet explorer ile ziyaret ettiğinde bunun ( artık adres çalışmıyor :O) ) olduğunu farketti. Bu kişi daha sonra slashdot.org a bir mail atarak durumu bildirdi. Birkaç saat sonar binlerce atak başlamıştı bile. Burada dikkat edilmesi gereken nokta, Microsoft firmasını yaptığı tek şey internet ağına bir bilgisayar çıkartmasıydı J . Aynı şey sizinde başınıza gelebilir. Kabul etmeniz gereken bir nokta var, ataklar var ve hep olacaktır. Bazı kişiler çok fazla bilgi ve yeteneğe sahiptir, çoğunluk ise iyi bir okuyucu ve deneyicidir. En önemlisi bunların çoğunluğunun çok fazla boş vakti vardır. Azınlıktaki kişiler sistemin güvenliği açığını bulup bir takım araçlar yazarlar, script kiddies denilen yaşları genelde 18 den küçük, bu araçları kullanan kişilerde hemen denemelere başlarlar. Herkesin hemen herşeyden haberdar olması olayın bir başka dezavantajıdır. Exploit yazıldıktan sonra ( ++++++lerin yazdığı araçlar ), hemen tüm script kiddies ler devreye girip dener, siz daha kodunuzun hatasını düzeltme yamasını hazır hale getirmeden , binlerce kişi atağı başlatır. Peki bir hata yaptınız kodunuzda, bunu düzeltme işlemi ve maliyetini biliyor musunuz ? İşte Microsof firmasında bir hata bulunduktan sonraki maliyet adımları :
Alintidir  |
|
| Seçenekler | |
| |
Benzer Konular | ||||
| Konu | Konu Açanlar | Forum | Cevaplar | Güncel Mesajlar |
| Basit bir JAVA Applet Yazımı | B737 | Javascript | 0 | 24-01-2008 02:09 |
| 2005 yazımı pr5 site güncellenir mi? | banias | Google Pagerank | 4 | 31-12-2007 12:31 |
| Visual Basic 6.0, Trojan Yazımı | Celebrian | Visual Basic & Action script | 0 | 24-12-2007 12:58 |
| Güvenli Bluetooth | kadınca | Donanım Haberleri | 0 | 23-12-2007 02:16 |
| Web Standartları ve CSS yazımı | kadınca | CSS | 0 | 06-11-2007 10:14 |
