Yazının ilk bölümü Hackerlar Saldırdığı Zaman – 1 başlığı altında..
Hackerlar nasıl büyük zararlar verebiliyor
Bir çoğu, normal kullanıcıların bilgilerini yazdıkları normal formları kullanıyor. Fakat onlar buralara bazı özel karakter kombinasyonları yazarak, uygulamanın arkasındaki veritabanına erişebiliyor veya sitenin sahibiymiş gibi kontrolü ele geçirebiliyorlar.
Smith’in kullanmış olduğu e-ticaret programı iki farklı hack yöntemine karşı savunmasızdı. Bu zayıflıkların adları, bu programın yazıldığı beş sene öncesinde hiç bilinmiyordu bile.
O tarihten beri o kadar yaygınlaşmışlar ki sadece Google’da arayarak bile bu zayıflıkların nasıl kullanılacağı hakkında bilgi edinebilirsiniz. Bunlar SQL enjeksiyonu ve site arası script kullanımıdır.
SQL enjeksiyon hack yönteminde avcı, bir satıcı sitesine girip kullanıcı adı ve şifre bölümüne bazı özel karakter setleri yazıyor. Zayıf bir SQL tabanlı uygulama bunları normal girdi olarak değil de belli bazı komutlar olarak algılıyor.
Mesela bir karakter dizisi girildikten sonra girilecek bütün kullanıcı adı ve şifrelerin doğru olarak algılanmasını sağlayabiliyor.
Smith, “İtiraf etmeliyim ki, bu çok ama çok akıllıca. Eğer biliyorsanız bunu tamir etmek çok kolaydır ama ilk önce bunu bilmeniz gerekiyor.” dedi.
Site arası script saldırıları ise bir giriş sayfasının işlemi tamamlamadan önce kullanıcıların bilgilerini başka bir sayfaya aktardığı sitelerde kullanılıyor.
Site, ilk sayfadan ikinci sayfaya geçecek uygulama komutlarını kabul etmeyecek kadar güvenli olabilir. Fakat hackerlar, kendi sahte ilk sayfalarını oluşturmanın yollarını bulmuş. Bu şekilde ikinci sayfayı kullanarak uygulama komutları gönderme olanağını elde edebiliyorlar.
Bunlar ScanAlert’in aradığı binlerce zayıf noktadan sadece iki tanesi. Diğer bazıları uygulamaya özel, bazıları daha çok rastlanan türden ve içeride geliştirilmiş web uygulamalarında bile bulunabilecek cinsten. Bazıları hackerlar tarafından geniş olarak kullanılıyor, diğer bazıları ise çok nadir rastlanan türden. ScanAlert bunların hepsini gözlemlediği her ayrı site için tarıyor.
Kullanıcılarının web sitelerini her gün tarayan otomatik sistemler kullanıyorlar. Günlük tarama çok önemli, çünkü çoğu internet sitesi neredeyse her gün değişiyor ve herhangi bir değişiklik var olan bir zayıf noktayı öne çıkarabilir. Hacklar da her an yeni bir zayıflık keşfediyorlar. Şirket bu yeni zayıflıkları öğrenir öğrenmez tarayıcı programına ekliyor.
Shebby, “Taramalarımız çok güvenli. Günde binlerce internet sitesini tarıyoruz ve sunucularımız bu yükü taşıma konusunda bir sıkıntı yaşamıyor. Çok güvenilir bir teknoloji. Aynı zamanda çok düşük bir yoğunluk oluşturuyor, sunucuya hiçbir zaman fazla yüklenmiyor.” dedi.
Güvenliğin bir işareti
ScanAlert’in hizmeti daha çok önleyici amaçlı olarak tasarlanmış. Fakat sertifikasyon sürecinin bazı ek getirileri de var. Şirketin dediğine göre “Hackerlara karşı güvenlidir” sertifikası bir internet sitesinin “hackerlara karşı olan zayıflığını yüzde 99.99 oranında yok ettiğini ve en yüksek yasal ve sektörel güvenlik standartlarına uyduğunu” belirtiyor. ScanAlert, testlerini hem kendi standartlarına hem de Visa, MasterCard ve FBI standartlarına göre yapıyor.
Şirket, bazı araştırmalara göre sitede güvenlik sertifikasyon işaretleri bulunmasının site üzerinden gerçekleştirilen satışları arttırdığını söylüyor. 2002 yılında Binoculars.com sitesinde 25,000 internet müşterisi ile gerçekleştirilen bir çalışmada kullanıcıların yüzde 50’si işareti gördü ve diğer yüzde 50’si ise görmedi.
Sonuçlara göre sertifika işaretini görenler arasında alışveriş yapanların oranında yüzde 34 artış oldu.
Kesin olan şu ki, online müşteriler gittikçe internette alışveriş yapmanın güvenliği konusunda daha çok endişe taşımaya başlıyor. TRUSTe kurumu tarafından yapılan yıllık bir ankette katılımcıların yüzde 44’ünün internette kredi kartı bilgilerini kullanmaktan korktuğu görüldü. Bu rakam 2003 yılında yüzde 30’du.
Smith’in müşterisi, ScanAlert servisini, güncellemenin sitesindeki zayıflığı giderip gidermediğini anlamak için sadece bir aylığına kullanmayı tercih etti. Fakat Smith, müşterisinin bir sene boyunca bu hizmeti kullanmasını istiyor ve en az altı ay bir olay olmadan site normal seyrinde giderse ancak rahatlayacak. Ona göre, böylece güvenini kaybettiği müşterileri de tekrar kazanabilir.
“Bence bu yapılması doğru olandır. Fakat birlikte çalıştığım müşterilerim genelde çok küçük işletmeler. 2000 dolar onlar için büyük para. Daha çok ‘Bekleyip neler olacağını görelim’ deme eğilimdeler.” Ve bu da çok, çok büyük bir hata olabilir.
Kaynak : 