Devlet Sistemlerinin Güvenliği

Bu kadrolasma sürerken, devlet internet sitelerimizi geçtim, intranette bile ciddi güvenlik açiklari devam edicektir. Yanlis hatirlamiyorsam ciddi paralar ile yabanci devletler tarafindan kurulan vatandaslik numara sistemimizde bile tekrarlanan veriler olusmustu.

Umarim yakin zamanda "bilisim güvenligi dernegi" tadinda özel girisimlerle güvenlik konusunda çalisan insanlarin birlik olmasi saglanir ve degisen dünyanin yeni soguk savas yöntemleri ile mücadele edilebilir.

Saygilarimla

S.a Ferruh Hocam

Ben Cyber-Security TIM'den ByGuard

Bir Çok Timlerimiz Ile Türk Sitelerinde Bulugumuz Açiklari Webmasterlara Bildiriyoruz Fakat Tinlayan Yok!!
Daha Sonra Siteleri Hacklenincede Sitemizi Sizmi Hacklediniz Diye Çikisiyorlar Yani Türk Webmaster veya Yöneticiler Çok Duyarsiz Davraniyorlar Ondan Sonra Hacklendimi Hacklendi Diyorlar Aslinda Hackleyenlerde Hakli be Kardesim Biz Ugrasip Sizi Uyaralim Siz Tinlamayin Olurmu Öyle Sey Tinlamayan Tabiki Cezasini Buluyor :)
Selametle...

Cyber-Security TIM // ByGuard

A.S. @ByGuard,

Kesinlikle haklisin bu konuda zaten daha onceden de yazmistim, bu da temel sorunlardan biri. Bir prosedur olmayinca ve guvenlik isi ciddiye alinmayinca boyle olaylar olur tabii ki. Takmayani oldugu gibi bunlarin cimkirani bile var.

Devletin sabit bir bilisim politikasi yok, bundan dolayi siz ne yaparsaniz açiklar gene olacaktir gerçi simdilerde bazi bakanliklarda yeni sistemler geliyor oracle tabanli ve artik win ürünlerinin kullanilmamasi gerektigi biraz anlasildi gibi. basbakanlik site degil tübitak sitesinin ana giris paneli bile açikta bu panele büyük bir bilgisayarin(bunu yapmak çokta zor degil) brute force saldirisi ne kadar dayanir o bile tartisilir. kirilmayacak kod kaynagi yoktur önemli olan bir politikanin bir yolun veya hedefin olmasidir bugun Abd bu ise okadar para veriyo ama FBI bile zamani gelince sistemelrinde açik bulan hackerlari yakalayamiyor. Not:zamaninda Karanet bile bundan nasibini aldi (askere gidenler bilir :) / BORDO

Peki bu konuda atilan herhangi bir adim var mi? Dernek vs tarzinda?

Artik internette özel biryer kaldigini zannetmiyorum. Örnek bir forum a kayit oluyorsun bir bakiyorsun o forum'un datebase ile baska bir forum kurulmus. Bu hack olayina gelince pek anlamam bu islerden ama 2002 veya 2003'de bir yazi okumustum herhalde chip dergisindeydi. Almanya, sistemlerinin çogunun bu tür saldirilara magruz kaldigi ve bilgi casusuluk nedeniyle linux sisteme geçmisti. Belki hatirlayan vardir.Topluluk olarakta önceden ferruh'un blog da degindigi http://www.webguvenligi.org/ var benim bildigim.

Yaklasik 7-8 sene kadardir web üzerinde uygulama gelistiriyorum. Su zamana kadar bir çok projede yer aldim. Inanin sitelerde okadar çok açiklar buluyorumki. Hatta basimdan geçen bisey var söyle anlatayim. Sql injection ile admin kullanici adi ve sifresini aldim. Sonra sitenin webmasterina mail attim. ( Inanin belki yolladigim 10. mailde cevap alabildim ) Dedim sitenizde söyle bir açiginiz var. Webmaster ne yapti dersiniz. Sadece Kullanici adi ve Sifresini Degistirmis.

Ben sahsen hack olayina merakli gençlerin web sitelerini tahrib etmelerini seviyorum. Çünkü her önüne gelen webmaster olmamali. Yada hazir bir script kuran ve iki üç ayarini ezberleyen biri webmasterim diye ortada gezinmemeli.

Mrb @ParadoXe Kardesim

Evt Sözlerine Katiliyorum Her Önüne Gelen Webmaster Oluyor.
Bir Sitenin Admin, Mod vs.. Olunca Hemen Webmaster Oluveriyorsun Hemen.
Halbuki; Webmaster Denilen Kavram Gerçekten Çok Genis Ve Kapsamli Bir Kavramdir.
Webmaster : Php,Asp,Asp.net,Java,Javascript,C,Vb,Mssql,Mysql Vb.. Aklima Gelmeye Bir Çok Programlama Dilinde Uzmanlik Derecesinde Bilgi Sahibi Olan Insandir.
Tabi bunu Anlat Anlatabilirsen (Türk Webmaster'a)

Selametle...

Evet geçen bende bikaç siteyi uyardim ama tinlayan yok buna bi çözüm bulmaliyiz artik!
Dernek fikri güzel benimde aklima geldi ama bize destek olacak birileri olmali..

Sadece devlet siteleri mi ?
Geçenlerde Ferruh'a bir text gönderdim. Bir firmanin login ekranindan copy paste sadece link üzerinde bir tane karakteri degistirdim ve ortaya çikan sonuç

DB ismi
DB kullanici
DB pasword

Ayrica diger serverleri ile baglanti bilgisi..

Adamlara gönderdim böyle böyle diye ama yine dinleyen yok. Taaki txt olarak dosyayi gönderinceye kadar... Tabi bu sefer isi ciddiye aldilar..

Anlatmak istedigim

ben seni hackledim demek ayridir ki kimse takmaz
ben seni hackledim al bu dbname al bu pass al bu connect ip al bu db içerinden bir bilgi..

Sanirim bizimkiler yani T.C dekiler delil olmadan kale almiyorlar.. Tabi deliline görede degisir..

Webmaster terimine en güzel açiklama ek$i den geldi zamaninda (05.06.2000) http://sozluk.sourtimes.org/show.asp?id=185018
Bana sorarsaniz bizim hükümetimiz bu sekilde sadece türbana v.s ye taktigi zaman (ki takmasinda demiyorum. Halk için en yisi neyse o olsun) diger konular hep geride kaliyor. Basa gelen sahs-i zihniyetlerin bilisim konusunda hiç bir halttan anlamadiklarindan dolayi güzel ülkemizde bilisim ilerlemiyor. Ilerlemeyecekte. bu senin benim abamla olmaz. Basa siteye girmeyi bilenden daha ileri seviyede insan lazim. Aç Bilisim Bakanligini çagir Ferruh Mavituna'yi nahnuyu finarfin i tunayi bak nasil bilisim olayinda kisa sürede +10 yil ilerliyoruz. ama olmaz iste. O zamanda halk bilinçlenir.

Bir kac arkadas ticari/devlet yerlerinin isimlerini vermis bariz nedenlerden dolayi o yorumlari yayinlamiyorum.

Ikinci olarak bu konu son 2-3 senenin konusu degil bu yillardir suren bir donem, dolayisiyla bu iktidar o iktidar olayi degil hatta onunla belki hic alakasi bile yok. Kurumlar kendi islerini gormiyor, genel olarakta bir zorlama veya yaptirim yok. Bu durumda bizde Bilmemkinin telefonu 3 yildir dinleniyormus, vergi sisteminden herkesin mal varligini memurlar sorguluyormus gibi tuhaf durumlara dusuyoruz.

Webmaster mevzusuna gelince durum ondan biraz daha karisik. Kelimenin kendisi rezil bir kelime sahsen ben en az 6-7 senedir kullanmamaya calisiyorum, cunku bugunku web sitelerinde ekip genis yapilara dayali ve herkesin spesifik forevleri var. Webmaster genelde bir site hakkinda her halti yapan kisi olarak kullanilirdi ama sonuc olarak terimin onemi yok,, burada iki sey var :

Bir guvenlik acigi bildirmek teknik olarak suc olabilir. Mesela Teakolik' e de bana o mesaji gonderdiginde belirtmistim texti gonderme, sorun cikabilir diye. %95 cikmaz ama cikarsa teknik olarak adamlarin delili var ve benzeri olaylar daha onceden oldu. Mesela ingilterede bir kisinin basina tam olarak bu olay geldi ve kendisi acigini bildirdigi kurum tarafindan dava edildi ve suclu bulundu.

Ikinci onemli durum ise acigin kime bildirildigi :
Eger acigi teknik kisilere bildiriyorsaniz sorun cok buyuk cunku bu teknik kisinin kafasina patlayacak bir is ve genelde bu kisiler ben yapamazsam kimse yapamaz mantiginda olayi algiliyorlar. Mesela X yerinde SQL Injection var adam bakiyor eee ne olacak diyor, cunku kendi oranin exploit edilemez oldugunu dusunuyor. Dolayisiyla gozardi edebiliyorlar. Sizin de dediginiz gibi adam kendi database sifresini orada gorunce hmm belki de bunu duzelmeliyiz diye dusunmeye basliyor :)

Her kurumun bu konu icin kendi icerisinde bir politikasinin olmasi gerekiyor. Sadece devlet degil e-ticaret vb. sitelerin de. Artik Microsoft, Yahoo, Google vs. bunlarin hepsi bu tarz guvenlik konulari icin ozel e-mail adresi sunmakta ve gonderilen her bilgiyi degerlendirmekteler.

devlet sistemlerinin özel sistemlere göre daha güvenli olmasi gerekir içerdigi bilgi ve stratejik öneminden dolayi tabi ama ben bi bankanin admin yolunu sadece 4-5 deneme sonrasinda bulmustum..komik ama gülemiyorum P:

Valla Ferruh'un söyledigi gibi ilk basta gönderme dedi ama gönderdim ne yapayim ya birisi bulurda sisteme dalarsa ? Hem hakkimda dava açarlarsa ben birsey yapmadim gibi seyleride kale almayacaklar.. Velhasil kelam açigi söylersen suç söylemezsen zaten sistem birileri tarafindan indirilecek büyük bir zarar sessiz kalirsan da elvermiyor bir tarafin...

Isin içinden çik çikabilirsen ...

Birde su dikkatimi çekti.. Ben açigi satis müdürüne gönderdim oda teknikçilere iletecegini söyledi. Direk teknikçiye göndermedim tabiki olaki ona gönderseydim birde gicik uyuz birisi olsaydi .... vs. vs. vs...

Yani asagisida suç yukarisida biyik ne yapacagiz bu durumda ? Türkiye'deki internet suçlari veya kanunlar acaba bu tip durumlarda insanlarin yaninda mi ?

Yoksa biz hiç sesimizi çikarmayalim itin biri gitsin darma duman etsin :)

@TEAkolik

Ilk önce böyle bir durumun olmasi sonra ise bizimkilerin tedbir almalari gerekir. Ilk önce tedbir alinirsa olmaz yüzyillardir gelen gelenegimizi öldürmüs oluruz. :)

Karsidaki insanin kisiligi ön plana çikiyor senin yasadigin olayda. Eger insan herkezin hatasi olabilir bende hata yapmis olabilirim gibisinden bakiyorsa sana tesekkür eder ve yapamiyorsa bile bunu nasil yapabilirim diye sorar ama Ferruh'un da bahsettigi gibi kisier karsina çikarsa ki zaten çikmis anlasiliyor sana birde firça çekerler... Insanimiz böyle...

Kanunlara gelince iyiniyetten dolayi birsey olmaz görüsündeyim. Tabi bunu hukukçular daha iyi bilir.

Kanunlara gelince iyiniyetten dolayi birsey olmaz görüsündeyim. Tabi bunu hukukçular daha iyi bilir.
Boyle olmadigini kesin olarak soyleyebilirim, kanunen bu durumda kesin olarak suclusun.