Browse > Home / Archive by category 'Uygulama Güvenliği'

| Subcribe RSS

Sağlık sektöründeki zafiyet, Finans sektörünü geçiyor mu?

Bilgi Güvenliği sektöründe son zamanlarda artan bir trend olarak karşımıza çıkan Identity Theft ve Data Breach, yani kimlik hırsızlığı ve veri ihlalleri ciddi bir sorun teşkil etmeye başladı. Son zamanlarda ülkemizde de sıklıkla duyduğumuz T.C. Kimlik Numaraları, Tapu Kadastro Kayıtları gibi çeşitli bilgilerinin çalınması; kurumlarda ciddi bir regulasyon eksiğinin ve sosyal mühendislik gibi kavramların tam oturmayaşından kaynaklıdır.

Identity Theft Resource Center’ın 2010 yılı için oluşturduğu veri ihlal kayıt PDF raporlarına bu adresten ulaşabilirsiniz. Rapora göre şimdiye kadar 435 farklı ihlalden etkilenen farklı kayıt sayısının 13 milyon olduğu düşünülüyor.

Sağlık sektörü de üzerinde durulması gereken vertical market’lerden bir tanesi. Her ne kadar ülkemizde herhangi bir yaptırım söz konusu olmasa da, özellikle Amerika’da uygulanan HIPAA (Health Insurance Portability and Accountability Act ) kanunları bir takım yaptırımları da beraberinde getiriyor. Bu kanunlar kabaca, hastaların ya da sağlık sigortası olan her kişi kayıtlarının gizliliğini, güvenliğini ve olası elektronik data transferlerindeki bilgi korunumunu içeriyor. Bu tarz regulasyonlar özellikle dosya, uygulama ve database gibi ortamlarda saklanan veriler için geçerli kurallar bütünlüğünü oluşturuyor. Saklanan verilerin bütününü ele aldığımızda; sosyal sigorta numaralarınızdan, geçirdiğiniz tüm hastalıklar, raporlar, tahliller, adres ve telefon bilgilerinize kadar herhangi bir veri yeralabilir. Hayatımızın yavaş yavaş Internet’e geçtiği bu dönemde, bazı hastanelerin sağlık bilgilerini internet üzerinden paylaşması, akıllara bazı soru  işaretlerini de beraberinde getiriyor.

İşte bu noktada Amerikan Hükümetinin her ne kadar ciddi yaptırımları olsa da; 2010 yılı için açıklanan zafiyet raporlarında bankacılık sektörünü (39) 3 kat fazla fraud (119) ile geride bırakmaya başaran sağlık sektörü, ciddi bir emekleme dönemine girmiş gözüküyor.

Sağlık sektöründen örneklere gelince;

  • Geçtiğimiz aylarda California eyaletinde gerçekleşen açıklıklar, 5 farklı hastanenin toplamda 675.000 dolar ceza ödemesine sebebiyet verdi
  • Louisville Üniversite hastanesinin şifrelenmemiş web-sitesinden çalınan 700 hasta kaydı
  • Yine California’da gerçekleşen Kaiser Permanente kurumunda çalışan bir kişinin arabasından çalınan depolama biriminde yer alan 15.000 hastanın kaydı, ciddi endişelere yol açtı
  • Kentucky Üniversite hastanesinin kilitli ofisinden çalınan dizüstü bilgisayarda yer alan 2.027 kişinin bilgileri yine ciddi bir güvenlik açığına sebep oldu

Örnekleri çoğaltmak mümkün. Özellikle ülkemizde bir türlü uygulanamayan sağlık sektöründeki regulasyon açıklığı, benim fikrime göre hastanelerden çok sigorta şirketlerinin gerekli önlemleri almalarını gerektiriyor. Çünkü buradaki güç ve yaptırım sigorta şirketlerinden gelmesinin yanında,  genel yapıya ve şablona baktığımızda yine sigorta şirketlerinin hastalarla olan ilişkisi ön plana çıkıyor.

Tags: , , , , , , ,

WordPress 2.8.6 Güvenlik Yükseltmesi

November 13th, 2009 | No Comments | Posted in Uygulama Güvenliği

WordPress için sürüm 2.8.6 yayınlandı. Bu sürümle birlikte 2 adet güvenlik problemi gideriliyor. Özellikle blogunuzda yazı yazma yetkisi olan herhangi bir kullanıcının açıklığa sebebiyet verebileceği söyleniyor. Bu nedenle eğer birden fazla ve fazla güvenmediğiniz kişilerin yazı yazmasına izin veriyorsanız, 2.8.6 sürümüne mutlaka yükseltmelisiniz.

Bunun dışında XSS açıklığının  ve blog’a yüklenen dosya isimlerinin bazı Apache konfigürasyonlarında görünmesi gibi açıklıklarının kapatılmasını sağlayan 2.8.6 sürümünü indirmek için bu adresi kullanabilirsiniz.

Tags: , , ,

iPhone’larda virüs/worm paniği yaşanıyor

November 12th, 2009 | No Comments | Posted in Uygulama Güvenliği

Apple’ın özellikle arayüz ve kullanım kolaylığı sebebiyle oldukça popüler olan iPhone’undaki ilk virüs/worm saldırısı yayılmaya başlandı. Sadece Jailbrake adı verilen ve kaçak yazılım yüklemeye yarayan bu sistemi kullanan iPhone’lara bulaşan bu zararlı yazılım, iPhone’un güvenlik mekanizmasını sıfırlayarak üzerinde istedikleri yazılımı kullanmalarına olanak tanıyor.

iPhone-Rick-Astley

Avusturalyalı bir genç tarafından yaptığı sunulan bu zaafiyet, iPhone’un arka planına 1980’li yıllara ait ”Never Gonna Give You Up” adlı parçasınınünlü pop yıldızı Rick Astley’in bir fotoğrafını koyuyor. Olaydan etkilenmemek için Jailbreak yapılmış iPhone’unuzun root şifresini değiştirmeniz gerekiyor.

Genç arkadaşımızın bu açıklığın kaynak kodlarını da yayınlamış. Bu nedenle zararlı gibi gözükmeyen bu ufak saldırının, ilerleyen günlerde daha etkili bir şekilde farklı varyasyonlarının olabileceğine kesin gözüyle bakılıyor.

Bir önceki pragrafta da söylediğim gibi, olaydan etkilenmemek için Jailbreak yapılmış iPhone’unuzun root şifresini değiştirmeniz gerekiyor.

Tags: , , ,

Data transferlerinizde hala geleneksel FTP mi kullanıyorsunuz?

November 11th, 2009 | No Comments | Posted in Güvenlik, Uygulama Güvenliği

Siz hala kendi geliştirdiğiniz veya satın aldığınız FTP yazılımını mı kullanıyorsunuz? Bu alışkanlığınıza bir  son vermenin zamanı geldi de geçiyor bile. Güvendiğiniz şirketler – finansal firmalar, büyük perakendeciler hatta sağlık ve devlet kurumları – FTP yazılımı kullanarak verilerin kontrolünü kaybettiler. Müşterilerin ve ortakların hassas bilgilerini tehlikeye attılar. Sonuç olarak ilişkiler bozuldu, tüketicilerin güveni azaldı ve hatta tamamen iş yaptıkları firmaları değiştirdiler. Kurumların %80’inde veri alışverişleri dosya transferleri yolu ile olduğundan gizlilik, denetlenebilirlik, hız ve güvenilirlik işleriniz için çok önemli bir duruma geldi.
More »

Tags: ,

Windows 7 İşletim Sisteminin Güvenlik Özellikleri

Windows 7  İşletim Sistemi’nin neler getirdiklerini daha önceki yazımda kabaca anlatmaya çalışmıştım. Şimdi ise bu özelliklerin özellikle güvenlik yöneticileri ve adminler üzerinde neler getireceklerine değineceğim. Bakalım User Access Control (UAC), Applocker ve Bitlocker ile Windows 7’yi şahlandırabilecek miyiz?

Henüz layığı ile testlere başlayamadım ancak internet üzerinden incelediğim kadarıyla Windows 7, özellikle Server 2008 R2 ile kullandığı zaman bir hayli etkili kullanılıyor. Bu özelliklere kabaca bir gözatalım:
More »

Tags: , , , , , , , ,

Uygulama ve İşlem Güvenliği’nde HSM’lerin Önemi ve Kullanım Alanları

Yaklaşık 2 haftadır bloguma birşeyler karalayamadım. Bunun esas nedeni hem çalışma tempom, hemde yeni makale yazıları hazırlamamdı. Dün itibari ile yeni makalemi bitirdim ve düzenledikten sonra, Türkiye’nin Bilgi Güvenliği alanında önde gelen portallarından biri olan Beyaz Şapka‘da yayınladım.
More »

IE 8 ile Web Uygulama Güvenliği

April 13th, 2009 | No Comments | Posted in Uygulama Güvenliği

Microsoft’un 5-8 Mart tarihleri arasında düzenlemiş olduğu “Geleceğin İnternet Teknolojileri” temalı MIX konferansında bir sunum yapan Eric Lawrence, Web Uygulamaları Güvenliği hakkında detaylı bilgiler veriyor. Sunumda özellikle Internet Explorer 8 üzerinde durulduğunu da belirtelim

Securing Web Applications

View more presentations from goodfriday.
Sunumun detaylarını yüksek çözünürlüklü olarak Windows Media ya da PPTX sunum formatında indirebilirsiniz.
Tags: , , ,

NSA, en tehlikeli 25 kodlama hatalarını açıkladı

April 7th, 2009 | No Comments | Posted in Güvenlik, Uygulama Güvenliği

Dünya üzerinde Güvenlik alanındaki en etkili kurumlar arasında gösterebileceğimiz bir ajans olan US National Security Agency ya da NSA, dünya üzerindeki programcılar için yapılan en büyük programlama kod hatalarını duyurdu. Özellikle 2008 senesinde 1.5 milyondan fazla internet sitesinin hacklendiğine dikkat çeken kurum, kullanıcıların ilgili programları kullanmasından önce  tasarım aşamasında yapılan hataların önceden farkedilip, tedbir alınması gerektiğini savunuyor.

İşte yapılan en tehlikeli programlama hataları:
  • CWE-20:Improper Input Validation
  • CWE-116:Improper Encoding or Escaping of Output
  • CWE-89:Failure to Preserve SQL Query Structure
  • CWE-79:Failure to Preserve Web Page Structure
  • CWE-78:Failure to Preserve OS Command Structure
  • CWE-319:Cleartext Transmission of Sensitive Information
  • CWE-352:Cross-Site Request Forgery
  • CWE-362:Race Condition
  • CWE-209:Error Message Information Leak
  • CWE-119:Failure to Constrain Operations within the Bounds of a Memory Buffer
  • CWE-642:External Control of Critical State Data
  • CWE-73:External Control of File Name or Path
  • CWE-426:Untrusted Search Path
  • CWE-94:Failure to Control Generation of Code
  • CWE-494:Download of Code Without Integrity Check
  • CWE-404:Improper Resource Shutdown or Release
  • CWE-665:Improper Initialization
  • CWE-682:Incorrect Calculation
  • CWE-285:Improper Access Control
  • CWE-327:Use of a Broken or Risky Cryptographic Algorithm
  • CWE-259:Hard-Coded Password
  • CWE-732:Insecure Permission Assignment for Critical Resource
  • CWE-330:Use of Insufficiently Random Values
  • CWE-250:Execution with Unnecessary Privileges
  • CWE-602:Client-Side Enforcement of Server-Side Security
Kaynak: SANS Institute

Uzmanlar ayrıca ilgili açıklıkların henüz tam olarak kavranamadığına dikkat çekmişler. Konuyla ilgili olarak, US National Security Agency, Department of Homeland Security, Microsoft veSymantec kurumları bir bildirge yayınladılar.

Esas soru, Türkiye’de bu tarz yazılım kodlarını irdeleyen ve güvenlik tedbirleri alan kurumların olup/olmadığı? Bu gibi durumların, özellikle tepeden zorunlulukla Audit durumlarında ya da ilgili projenin şartları ve kurumların güvenlik politikaları dahilinde gerçekleşebileceğini düşünüyorum. Aksi halde kendi yazılımlarını geliştiren kurumların uygulayıp, uygulamadığını irdelemek gerek. Bu konuda bilgisi olan arkadaşların konuya yorum yapmalarını bekliyor ve yazılım geliştiren ekiplere selamlarımı sunuyorum. Özellikle çaylak arkadaşlara dikkat 8) .

Tags: , ,
  • Site istatistik

    Bugünkü ziyaret: 16
  • Add to Technorati Favorites

    Mail adresinizi girin:



  • Google Connnect
  • RSS DarkHardWare News