Merhaba, kisisel de yollanabilirdi ama, sanirim listeye gecmek faydali
olacak...
Benim guvenlik anlayisim, 'black box'dan ziyade, 'crystal box'a yakin.
Yani, guvenilir sistem ayni zamanda acik sistem uzerinde olmali,
sistemin kodu incelenebilir olmali... (Bu en ufak clienttan, en buyuk
sistemlere ya da guvenligi saglayacak firewallara kadar boyle olmali...)
Bu konuda, gercekten guvenlikciler arasinda buyuk bir catisma var. Ancak
guvenilir sistemler, kodu herkes tarafindan gorulebilen sistemlerdir
yaklasimi bana daha yakin. (Yani hodri meydan...) Eger sisteminizin kodu
herkese acik degilse, ayni zamanda, o kodda bulunan buglarin bir sekilde
ortaya cikma ihtimali daha az ancak size verecegi zarar daha fazladir.
Bu yaklasim sanirim dogru olmali... Sonucta standart DES algoritmalari
da herkes tarafindan incelebilinir degil mi?? (Isteyen crypt'in
source'una goz atsin... ;) ) Net lib'leri gizlemek, ya da ortaya
koymamak, hacker'i ne kadar durdurabilir ki? (Ya da nereye kadar ;) )
Linux'u da bu yuzden seviyorum... PING OF DEATH ciktiginda, linuz icin
patch sadece iki saat icinde cikmisti... Eh tabii, bunu uygulayip
uygulamama sysadm'in sorumlulugu...
--Baris Cenberci RAKSNET Iletisim Teknoloji ve Ticaret A.S. Network Bolumu Guvenlik Grup Lideri e-mail : Baris.Cenberci@raksnet.com.tr Tel : +90 232 4413033 ext 115 Fax : +90 232 4414214