Makalenin ilk bölümünü Veri Tabanınıza Hacker Sızdıysa – 1 başlığı altında okuyabilirsiniz.
Elbette HACKER kullanıcı ismi user$ tablosunda yer alıyor, fakat herkesin veri sözlükleri ile gezdiği ve gerçek tablolardan uzak durduğu toplumumuzda kim “gerçek” tabloları inceler ki zaten?
- SQL> select name from user$ where name = ‘HACKER’;
NAME
——
HACKER
Doğrusunu isterseniz Hacker adlı kullanıcımız ayrıca ALL_USERS görüntüsünü de değiştirir. TOAD’dan alınmış aşağıdaki görüntü aynı “and u.name <> ‘HACKER’” ifadesini eklemenin yeterli olacağını gösteriyor.
Birilerinin, yaygın olarak kullanılan ve kullanıcının “Grant dba to hacker” ifadesini kesinlikle ekleyecek olduğu viewlardan, böyle bir kullanıcı hesabını saklama çabasına girmesi (ya da bu yeteneğe ve imkana sahip olması) çok büyük bir sürpriz olmamalıdır.
Kronbrust bunun yanında bir hacker’ın işleri ve yöntemleri hakkındaki izlerini örtmek isteyeceği alanları/view’ları da gösteriyor. İçinde tahrifat yapılacak olan dört ana sözlük objesi v$session, gv_$session, flow_sessions, ve v_$process olacaktır.
Bir hacker’ın ya da köstebeğin baş köşeye geçmesini nasıl önlersiniz(ya da önleyebilirsiniz)? Cevabın bir kısmı SYS şemalarına girişi kısıtlamada ve SYS olarak oturum açma işlemlerini denetlemede yatıyor. Bu yaklaşım bana, International Affairs Division(IAD) müfettişlerinin şuç ithamlarıyla doldurulmuş polis kuvveti dosya ve mevkilerini incelemelerini hatırlatıyor. Bir suçtan dolayı şüphe altında kaldıklarında IAD müfettişlerini kim teftiş edecek? Diğer IAD müfettişleri mi? Yüksek otorite oluşturmakta bazı eksikliklerin olması dolayısıyla, SYS’ye girişi olan kullanıcılar (ya da SYS olarak oturum açan ya da bir işletim sistemi hesabı yolu ile sysdba olarak bağlanan kullanıcı) arasında bir güven seviyesine ihtiyaç duyulur. “Güven, fakat mutlaka doğrula” muhtemelen uygulanması yararlı olacak bir kuraldır.
Bu sorunun çözümüyle ilgili başka bir kısım ise kullanımdaki kod ve nesneleri koruma ve muhafaza etmekle ilgilidir. Herhangi birisinin bir veri sözlüğü view’unu değiştirdiğinden nasıl şüphelenmeye başlarsınız ya da bunu bilmeye nasıl başlarsınız? Büyük ihtimalle kötü bir şeyler olmadan önce bunu bilemezsiniz. Kod geliştirme çevrelerinde, bilinen nesne ve kodlar üzerinde kaynak ve versiyon kontrolü sağlamak zaten yeterince zordur, işte bu yüzden kötü amaçlı bir öğe işin içine dahil edildiği zaman durumun nasıl daha da elverişsiz hale geldiğini hayal etmek zor değildir.
Bir köstebek için pek çok motivasyon kaynağı mevcuttur. 2002’de bir at yarışı bahis yazılım şirketi çalışanı, “ilk dört yarış tamamlandıktan sonra şirket bilgisayarlarından birine erişim sağlamış ve eski bir kardeşlik cemiyetinin telefonu aracılığı ile oynanmış olan bahis miktarını değiştirmiştir. Son iki yarışta bahis tutmuş ve bu çalışan ve iki arkadaşına ödenecek meblağ 3.1 milyon dolara ulaşmıştı. Neyse ki bu olaya karışanlar yakalandı,” haberi ile gazetelerin manşetlerine taşındı. (Bu haberin detaylarını İngilizce olarak burayı tıklayarak okuyabilirsiniz.
Elektronik oy kullanma yazılım/veri hilesi için hazır başka bir alandır. Risk Digest sayfasındaki makalelerin çoğu, her ne kadar bu basım 4 yıllık olsa da, bugün uygulanabilir durumdadır. Bir seçimi tersine döndürmek için ne kadar veriyi değiştirmek gerekir? Belki az, belki çok. İkinci durumun tespit edilmesi muhtemelen daha kolay olacaktır, fakat ya milyonların içinde birkaç bin oy? 30 küsur milyon üzerinden (Kaliforniya’yı düşünün) 50.000 oy, sadece yüzde 0.167 yapar. %99 doğruluk oranıyla tatmin olabilmek yeterince iyi değildir. Dolayısıyla, makineların performans düşüklüğünü, insan hatalarını (kayıtların/verilerin yanlış yerleştirilmesi), yanlış programlamanın ve doğa kanunlarını hesaba katmazsanız, itibarlı bir kullanıcı / hacker / köstebek karşısında nasıl korunacaksınız?
Sonuç olarak
Bir 3. dünya ülkesi, ABD’nin rehberliğinde, demokratik bir ülke olmaya karar verdi. Kısıtlı bir bütçe ile, sadece ikinci el ekipman ve Chicago şehrinden birkaç oy verme makinesi sağlayabildi. Ülke Fyodor Guantanamo’nun, Kwame Santahara’ya rakip olduğu seçimi büyük bir tantanayla gerçekleştirdi. Kazanan ise… Richard J.Daley oldu (Chigago’nun en uzun süreli hizmet veren valisi).
“Erken oy verin ve seçim gününde daha çok oy verin” sahtekârlık tespitine ve önlemesine ek olarak, veri sadece bir köstebekten korumak istenilen bir şey değil aynı zamanda korunumu kesinlikle kritik olan bir şeydir. Bazı insanlar seçim memurlarını şimdiden sirkte çalışan palyaçolar olarak farz ediyorlar, fakat biz bir köstebeğin sebep olduğu George Smiley’nin Sirki boyutundaki hasarın sonuçlarını ancak yeni yeni idrak etmeye başlayabiliyoruz. Tehlikeyi biliyoruz, muhtemel hasarın ne olabileceğini biliyoruz ve esas olarak neyin korunması gerektiğini biliyoruz. Toplu olarak, veritabanlarımızı korumak için ne yapıyoruz?
Hatırlayın, korunmaya ihtiyacı olan sadece veri değil aynı zamanda sistemin gerisindeki koddur.
Kaynak : 