From: Mucip ILBUGA (mucip.ilbuga@gmail.com)
Date: Tue 18 Oct 2005 - 13:14:49 EEST
Selam,
Ancak bu kadar açılanabilirdi... :) Teşekkürler...
Mucip:)
----- Original Message -----
From: "Mehmet Ekiz" <ekizm@tbmm.gov.tr>
To: <linux-guvenlik@liste.linux.org.tr>
Sent: Tuesday, October 18, 2005 1:01 PM
Subject: Re: [Linux-guvenlik] sunucu güvenliği
> Merhaba,
>
> Zeki Çatav yazmış:
>> Merhaba,
> ----Kesildi-----
>> Kritik bir görevi 7/24 yürütecek sunucu için işletim sisteminin açık
>> kaynak kodlu olması bir güvenlik açığı mıdır?
>
> Kısa cevap, hayır :)
>
> Uzun cevap (Dikkat biraz uzun :)):
>
> Sistem güvenliğinde bir söz vardır: "Security by obscurity is not
> security" yani "Saldırganın bir şeyi bilmediğini zannederek kurulan
> güvenlik güvenli değildir". Daha düzgün anlatmaya çalışırsam, bir
> güvenlik listesinde gördüğüm şu örneği verebilirim:
>
> Sistemi bir kayık olarak düşünelim. Tehdit de denizdir. Siz de
> kayıkçısınız. Tehdit neden denizdir? Çünkü, saldırganlar -bir tane
> saldırgan değil denizdeki damlalar kadar çok sayıda saldırgan
> olabileceğini düşününüz-, bir delik bulana kadar kayığın tüm dış
> yüzeyini (ulaşılabilir arayüz) inceleyecektir, belki bir tanesi tüm
> yüzeyi inceleyemez, ama tüm yüzeyi incelemeye yetecek kadar damla var.
>
> Şimdi bu saldırganların kaynak koduna ihtiyacı var mı? Hayır. Onların
> tek ihtiyacı olan arayüze erişmek. Internete bağlı herhangi bilgisayarın
> günde kaç kere port taramasından geçtiğini düşünürseniz, eninde sonunda
> arayüze erişip delik var mı diye yoklayacaklarından emin olabiliriz.
>
> Peki açık kaynak, kapalı kaynak bizim için (kayıkçı) için ne ifade
> ediyor? Kayığın iç yüzeyini... Kayığın içi yüzeyinin bir brandayla
> örtüldüğünü düşünün. Kayıkta da bir delik var. Su kayığın içine sızıyor.
> Siz brandanın yükselmesinden ve kayığın alçalmasından bir problem
> olduğunu anlıyorsunuz ama bir şey yapamıyorsunuz. Çünkü deliğin yerini
> bilmiyorsunuz. İşte bu kapalı kaynak durumu.
>
> Açık kaynakta ise yukarıdaki branda yok. Bir delik varsa, suyun nereden
> girdiğini hemen farkedip deliği tıkamanız çok daha çabuk olacaktır.
>
>
> Bu analojinin gerçeğe ne kadar yakın olduğunu yaşadığımız örneklerle de
> görmekteyiz. Örneğin "tehlikeli" deliklerin sayısı konusunda, US-CERT
> sitesinin yayınladığı 2004 yılı Güvenlik Bültenleri özetlerine bakalım.
> http://www.us-cert.gov/cas/bulletins/SB2004.html
>
> Windows için deliklerde "High" olarak işartelenenlerin sayısına bakınız.
> Unix/Linux için deliklerde "High" olarak işaretlenenlerin önemli bir
> kısmının da "kapalı kaynak" olduğunu da gözden kaçırmayınız. Dikkat
> ediniz, güvenlik delikleri kaynak kodları incelenerek bulunmuyor. Öyle
> olsa, kapalı kaynak programlarda tespit edilen delikler çok daha az
> olurdu.
>
> Açık-kaynak programlarda tespit edilen güvenlik deliklerinin giderilmesi
> günlerle değil saatlarle ölçülürken, kapalı-kaynak programlarda aylarla
> ölçülüyor. Örnek son firefox ve ie açıkları...
>
> Kolay gelsin,
> Mehmet
>
>
>> Teşekkürler.
>
>
--------------------------------------------------------------------------------
_______________________________________________
Linux-guvenlik mailing list
Linux-guvenlik@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
_______________________________________________
Linux-guvenlik mailing list
Linux-guvenlik@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik