From: Mehmet Ekiz (ekizm@tbmm.gov.tr)
Date: Tue 18 Oct 2005 - 13:01:32 EEST
Merhaba,
Zeki Çatav yazmış:
> Merhaba,
----Kesildi-----
> Kritik bir görevi 7/24 yürütecek sunucu için işletim sisteminin açık
> kaynak kodlu olması bir güvenlik açığı mıdır?
Kısa cevap, hayır :)
Uzun cevap (Dikkat biraz uzun :)):
Sistem güvenliğinde bir söz vardır: "Security by obscurity is not
security" yani "Saldırganın bir şeyi bilmediğini zannederek kurulan
güvenlik güvenli değildir". Daha düzgün anlatmaya çalışırsam, bir
güvenlik listesinde gördüğüm şu örneği verebilirim:
Sistemi bir kayık olarak düşünelim. Tehdit de denizdir. Siz de
kayıkçısınız. Tehdit neden denizdir? Çünkü, saldırganlar -bir tane
saldırgan değil denizdeki damlalar kadar çok sayıda saldırgan
olabileceğini düşününüz-, bir delik bulana kadar kayığın tüm dış
yüzeyini (ulaşılabilir arayüz) inceleyecektir, belki bir tanesi tüm
yüzeyi inceleyemez, ama tüm yüzeyi incelemeye yetecek kadar damla var.
Şimdi bu saldırganların kaynak koduna ihtiyacı var mı? Hayır. Onların
tek ihtiyacı olan arayüze erişmek. Internete bağlı herhangi bilgisayarın
günde kaç kere port taramasından geçtiğini düşünürseniz, eninde sonunda
arayüze erişip delik var mı diye yoklayacaklarından emin olabiliriz.
Peki açık kaynak, kapalı kaynak bizim için (kayıkçı) için ne ifade
ediyor? Kayığın iç yüzeyini... Kayığın içi yüzeyinin bir brandayla
örtüldüğünü düşünün. Kayıkta da bir delik var. Su kayığın içine sızıyor.
Siz brandanın yükselmesinden ve kayığın alçalmasından bir problem
olduğunu anlıyorsunuz ama bir şey yapamıyorsunuz. Çünkü deliğin yerini
bilmiyorsunuz. İşte bu kapalı kaynak durumu.
Açık kaynakta ise yukarıdaki branda yok. Bir delik varsa, suyun nereden
girdiğini hemen farkedip deliği tıkamanız çok daha çabuk olacaktır.
Bu analojinin gerçeğe ne kadar yakın olduğunu yaşadığımız örneklerle de
görmekteyiz. Örneğin "tehlikeli" deliklerin sayısı konusunda, US-CERT
sitesinin yayınladığı 2004 yılı Güvenlik Bültenleri özetlerine bakalım.
http://www.us-cert.gov/cas/bulletins/SB2004.html
Windows için deliklerde "High" olarak işartelenenlerin sayısına bakınız.
Unix/Linux için deliklerde "High" olarak işaretlenenlerin önemli bir
kısmının da "kapalı kaynak" olduğunu da gözden kaçırmayınız. Dikkat
ediniz, güvenlik delikleri kaynak kodları incelenerek bulunmuyor. Öyle
olsa, kapalı kaynak programlarda tespit edilen delikler çok daha az olurdu.
Açık-kaynak programlarda tespit edilen güvenlik deliklerinin giderilmesi
günlerle değil saatlarle ölçülürken, kapalı-kaynak programlarda aylarla
ölçülüyor. Örnek son firefox ve ie açıkları...
Kolay gelsin,
Mehmet
> Teşekkürler.
_______________________________________________
Linux-guvenlik mailing list
Linux-guvenlik@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik