Web Geliştiricileri ve Siber Güvenlik

Web Geliştiricileri ve Siber Güvenlik
Ocak 08 09:29 2016 Yazıyı Yazdır

Siber güvenlik ile ilgili Türkiye’de atılan adımlar, özellikle son birkaç yıldır gözle görülür bir farkındalığın oluşmasına sebep oldu. Bu konuda yazılan yazılar, verilen eğitimler ve gerçekleştirilen tatbikatlar sayesinde, Türk internet kullanıcılarında yavaş yavaş bilinç oluşmaya başladı. Bunun neticesinde internetteki hesapların ele geçirilmesi vakaları da azaldı – en azından şimdilik görünen o.

Bugün, dünyanın en popüler parolası, yapılan araştırmalara göre hala “123456“. Dolayısıyla da halen dahi yapılan saldırıların başarısının arkasındanki en önemli isim, kullanıcının kendisi. Bunun dışında, kullanıcı ne kadar başarılı bir parola politikası uyguluyor olursa olsun, web sitesindeki açıklardan kaynaklı hacklenme durumları da muhakkak ki söz konusudur.

Kullanıcıların artık eskisine göre çok daha bilinçli olduğunu, siber güvenlik konusunda ülke genelinde her geçen gün daha fazla farkındalık oluşturulduğunu ifade etmiştim. Ancak; durum ne yazık ki web geliştiricileri tarafında aynı değil.

 


Geçtiğimiz günlerde bir arkadaşımın, çalıştığı firmanın resmi sitesinde yapılan değişiklikler (sunucu ve altyapı) neticesinde, çeşitli problemler yaşadığını, bu konuda benden yardım talep etmesi üzerine karşılaştığım bir olayı anlatmak istiyorum. Zaten bu hikayeyi okuduktan sonra durumun ne kadar vahim olduğuna siz de kanaat getireceksiniz.

Telefonla konuştuğum ilk kişi, önceki siteyi geliştirmiş olan bir web yazılımcı. Aynı zamanda sitenin hosting (barındırma) işleri ile ilgileniyor. İlk görüşmemizde, mevcut sitenin N. isimli bir web sunucusunda barındığını, yeni geliştiricinin ise M. isimli bir başka sunucu üzerinde çalışarak, bu sunucuya erişim için ayrı bir alan adı aldığını öğrendim. İstenilen şey aslında çok basitti. Sitenin orijinal alan adının, yeni sunucuya yönlendirilmesi. Bunun için DNS değişiklikleri yapılmasına karşın, çeşitli sorunlar yaşandığı için (iki geliştirici arasındaki iletişimsizlikden kaynaklanıyor. Dahası bu iki kişi telefonda atışmışlar) siteye erişim birkaç gündür sağlanamıyor.

Ne yapılması gerektiği ile ilgili benden yardım talep eden arkadaşıma durumu anlattım. Bu sırada e-posta hesaplarında da problem yaşadıklarını, herhangi bir şekilde e-posta alıp gönderemediklerini öğrendim. Bu durumun ise gerçekleşen siber saldırı kaynaklı olabileceği gibi, e-posta sunucusundaki bir hatadan ya da eğer değiştirilmişse, MX kayıtlarından olabileceğini belirttim. Bunun üzerine mevcut siteyi kodlamış olan geliştirici arkadaşa MX kayıtlarında herhangi bir değişiklik yaşanıp yaşanmadığını sorduğumuzda aldığımız cevap “MX kaydı ne ki? Bilmiyorum, değiştirmedim bir şey” oldu…

Gerekli bilgiyi vermemin ardından, ertesi gün yeni siteyi geliştiren kişi ile telefonda konuşmam gerekti. “Atalay Bey merhaba. Ben S. Şimdi bu sunudaki veritabanını, eski sunucuya aktarmam gerekiyor. Ama SQL dosyasının boyutu 20 MB. MySQL limiti 8 MB’mış. Import işlemini yapamıyorum, ne yapmalıyım?” şeklindeki bir cümlenin ardından, SQL dosyasını sıkıştırmayı deneyip denemediklerini sordum doğal olarak. Sizce  gelen cevap neydi? Doğru tahmin… Denenmemiş…

SQL dosyasını ZIP formatında sıkıştırıp tekrar denemelerini istedim. Telefondaki hanım bu kez, “Tamam Atalay Bey. Dosyayı RAR’ladım” dedi. Dikkat: ben ZIP dememe rağmen telefondaki hanım hâlâ bana RAR diyor! İlgili biçimi hatırlatmamın ardından, kullandığı yazılımın süresinin dolduğunu, bu yüzden ZIP formatında sıkıştırma yapamadığını söyleyen arkadaş, mevcut dosyayı ZIP formatında sıkıştırabilmem için(!) e-posta adresimi rica etti. Firmaya ait, belki de bilmemem gereken tüm veriler artık benim e-posta hesabımdaydı. Tabii SQL dosyasının, üçüncü parti bir bulut depolama hizmeti üzerinden paylaşılması teklifini de es geçmemek gerekiyor. (Kurum ile geliştirici arasında herhangi bir sözleşme yok)

Neticede, yine birkaç hatadan sonra veritabanını aktarma hususu da başarılı bir şekilde tamamlanmış oldu. Tam bu noktada bir soru daha… “Atalay Bey, wp-config.php dosyasında parolayı hani WordPress uzun bir hale getiriyor ya…

Telefondaki hanım, aslında hashing (hashleme) konusuna değinmeye çalışıyor. Hadi diyelim terimi bilmiyor ya da o an aklına gelmedi; peki ya bunu hangi algoritma ile yaptığını bilmiyor olması… Genel olarak konu hakkında bilgi verdikten sonra salting ile ilgili de konuşmaya başlayacakken, “Salting ne oluyor peki?” şeklinde gelen cevaba siz de şaşırmadınız değil mi…

Hikaye buradan sonra daha da karmaşık bir hal aldı. Dahası birkaç gün daha web sitesi düzgün bir şekilde çalışmadı. Ancak benimle telefonla konuşan arkadaş, web sitesini geliştirmeye devam etti. Aslında geliştirmek demek pek doğru değil, zira hazır bir sistem kullandığı için “kurmak” fiili daha mantıklı görünüyor. Zira geliştirmek adına atılmış tek bir adım, yapılmış tek bir işlem yok. Bir temanın kişiselleştirilmesi, geliştirmek olarak tanımlanıyorsa peki…

MD5, SHA-256 vb. ne olduklarını, ne işe yaradıklarını bilmemek, salting konusunda fikir sahibi olmamak, şifrelemeden bir haber olmak… İşi sadece WordPress kurmak olan birisinin dahi artık bilmesi gereken konular bunlar.


 

Siber savaş çağına girdiğimiz son yıllarda, hikayedeki geliştirici ve benzerleri yüzünden de yaşanmış ve yaşanacak olan pek çok hacklenme olayı ile karşı karşıyayız. Bu yüzden birisine web sitesi geliştirirken, kişinin becerileri ve yeterliliği ile ilgili de sıkı bir araştırma yapmak gerekiyor. Böyle bir şansınız yoksa da sitenizin herhangi bir açığı bulunup bulunmadığını kontrol edecek, bir başka güvenlik uzmanı ya da firmasından yardım almak şart.

Gönül ister ki geliştiriciler de artık siber güvenliğin farkında olsun (Bu konuda bilinçli programcıları tabii ki tenzih ediyoruz), web güvenliği konusunda uzmanlaşsın, güvenli kodlar yazsın…

daha fazla yazı

Yazar Hakkında

Atalay Keleştemur
Atalay Keleştemur

1983 yılında İstanbul’da doğmuştur. İstanbul Teknik Üniversitesi mezunudur. PC World Türkiye dergisinde Yazılım Editörü olarak görev yapmış, daha sonra sırasıyla BYTE Türkiye dergisinde Yazı İşleri Müdürü, T3 Türkiye dergisinde Yayın Yönetmeni görevlerinde bulunmuştur. Türkiye Bilişim Güvenliği Derneği’nde Yönetici Üye olarak, siber güvenlikle ilgili farkındalık çalışmalarına katılmıştır. Türkiye Bilişim Derneği İstanbul Şubesi’nde Açık Kaynak Çalışma Grubu Başkanlığı göreviyle, Linux ve LibreOffice gibi açık kaynak yazılımlar hakkında Türkiye’de önemli katkılarda bulunmuştur. Farklı kurumlarda Sistem Yöneticisi ve Yazılım Geliştiricisi olarak çalışmıştır. Siber İstihbarat isimli kitabın yazarı olan Keleştemur, Siber Güvenlik ile ilgili çalışmalarını sürdürmektedir.

Daha Fazla Yazı
yorum yapın

4 Yorum

  1. mert türk
    Ocak 17, 06:03 #1 mert türk

    Son Zamanlarda Fırmalar bile Hazır Sistem Kullanmaya Başladı Bizimgibi Hakkıyla web tasarım yazılım yapan kısılerın ellerınden ekmeklerını almaya baslıyorlar hıc bır zaman wordpress kullanmadım ve kullanmam hazır sısteme karsıyım her zaman en guvenılır alt yapı kendı yaptıgın alt yapıdır bunu unutmayın.

    Reply to this comment
  2. mert türk
    Ocak 17, 06:18 #2 mert türk

    Firmalara Web site yaptırmayın freelance kısı tanıyorsanız bılgılıyse o kısıye yaptırın fırmalar size tam yetkı bılgı vermezler benım bir musterım adı duyulmus firma e tıcaret sitesi hazırlatmıs aradan zaman gecdıgı zaman musterım domain panel sıfresını ıstedıgınde aldıgı cevap biz size şifre veremeyiz yanı kendı paranla kendı fıkrınle aldıgın isim hakkına el koyuyorlar sonra musterım bana geldı ben bilişim alanında uzmanım freelance bu ıslerı yurutuyorum ben firmayla ıletısıme gectim onlardan musterıden aldıgım bılgılerı aktardım ve domain benım belırledıgım hesapa aktarmalarını aksı takdırde dolandırmaktan ınsan hakları suclamalarından mahkemeye dava acılacaktır dıye korkuttum gözlerini sonra işlem yapmaya basladılar.
    Kurumsal Firmalara Kesinlikle Web site Domain Aldırmayın ve yaptırmayın ileride sıkıntılar cekmemenız içindir.

    Reply to this comment
  3. Septemb0x
    Şubat 02, 07:09 #3 Septemb0x

    Merhaba,

    O konuştuğunuz kişi bir halttan anlamıyor ve web geliştiricisi falan da değil, wp ve template kullanan biri.Genelleme yapmışsın resmen 12 yıldır sektördeyim, gelin bir ara sohbet edelim. Ayrıca eklemek istiyorum veritabanı yükleme boyutunu php.ini’den değiştirebilirsiniz.

    Reply to this comment
    • İsmail Saygılı
      Şubat 02, 08:01 İsmail Saygılı

      Merhaba,
      Öncelikle değerli yorumunuz için teşekkür ederiz.
      Okumakta olduğunuz yazı, bu seviyede olan kişilere hitafen bilginlendirme amaçlı yazılan bir yazıdır. Yazı sonunda “Bu konuda bilinçli programcıları tabii ki tenzih ediyoruz” diyerek sonlandırma yapılmıştır.

      Son olarak da dediğiniz gibi evet, php.ini konfigürasyon dosyasından da db file upload size’ı değiştirilebilir.

      İyi günler.

      Reply to this comment

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.