Güvenlik Uzmanı Tamer Şahin’le 4 gündür sürmekte olan röportajımızın son bölümünde güvenlik konusunu özel şirketler ve e-ticaret açısından konuştuk. (Daha önceki bölümleri Hacker Olmak Her Zaman Kötü mü? – Türkiye’de Saldırganlar Genellikle Dışarıdan ve E-devlet Ama Nasıl ?? …….. Ya Güvenlik??turk-internet.com : Orta Büyüklükteki bir şirketin yapması gereken GÜVENLİK yatırımlarını kalem kalem ve aşağı yukarı bedelleri ile sayabilir misiniz?
Şahin : Şirketlere güvenlik çözümleri sunulmadan once yapılması gereken en önemli şey şirket ile ilgili bir güvenlik politikasının belirlenmesidir.
Bu politika sonucunda şirketin gereksinimleri, sunucu sayısı, firewall ve IDS sistemlerinin niteliği gözden geçirilip ona göre bir fiyatlandırma yapılmalıdır. O yüzden peşinen bir şey söylemek çoğu kimsenin network’üne uymayacağı gibi yanlış bir bilgilendirmeye yol açabilir.
turk-internet.com : Turkiyedeki e-ticaret sitelerini güvenliği konusunda bir araştırma yok. Sizin bu konudaki düşünceleriniz nedir? e-ticaret’çiler yeterli güvenlik önlemi alıyorlar mı?
Şahin : Türkiye’deki e-ticaret siteleri artık pek acemi değiller. 3-4 yıl öncesine varan çalışmalar var. Ancak yine de e-ticaret sitelerinin çoğunda değişik
zayıflıklar var. Kimisi herhangi bir firewall kullanmayıp, database sunucunun erişim portunu dahi açık bırakırken, kimisi de ASP, PHP gibi web tabanlı programlama dilleri ile hazırlanan dinamik sayfalardaki zayıflıklar sayesinde yanlış ya da farklı fiyatlandırma ile sipariş verilmesine olanak tanıyor. Ayrıca sistemlerindeki dosyalara erişim sağlanmasına neden olan zayıflıkları olan sistemlerde hizmet veriyorlar. Sanıyorum ki, etraflıca bir araştırma yapılsa hepimizi şaşırtacak nitelikte zayıflıklar bulunacak. Muhtemelen bunlardan e-ticaret sitesi sahiplerinin fazla haberi yok. Aslında çoğunun çözümleri de sanıldığı kadar zor değil.
turk-internet.com : Peki madem böyle diyorsunuz, e-ticaret sitelerinin alması gereken önlemleri kısaca ozetler misiniz?
Şahin : Genellikle benim dikkatimi ilk çeken, hemen her e-ticaret sitesinde yer alan “Guvenlik” başlıklı bölüm altında yer alan yazılar.
Sitelerde genellikle birinci derece güvenlik önlemlerinden çok, sitelerin “SSL” ile korunduğu anlatılıyor. Anlatılmak istenen elbetteki sistemin işleyişinin güvenli olduğu. Fakat bunu ziyaretçiye, doğru yoldan, doğru şekilde anlatmak yerine, sadece SSL’den bahsedilip güvenlik başlığı geçiştiriliyor.
Oysa ki SSL e-ticaret işlemlerinin yapıldığı sunucudaki “birincil” güvenlik önlemi değil. Konuyu belirli bir hiyerarşide ele alırsak öncelikle;
olmak üzere belirli sıralamada ele alınması gerekiyor. Bu sıralamanın ortadan ya da sondan başlaması kesinlikle kabul edilemez.
Çünkü birinci dereceden güvenliğin sağlanılmadığı bir sunucuda, ziyaretçi
ile sunucu arasındaki trafiği istediğiniz kadar şifreleyin. Eğer saldırgan sunucuya
erişim sağlamışsa, bu şifrelemenin aşılması pek de zor sayılmaz.
Bundan bir yıl kadar önce güvenlik listelerinde bu konu ile ilgili bazı tartışmalar çıkmıştı. Bu tartışmaların başlığı “Acaba SSL’in sonu mu geliyor?” idi. Tartışmanın nedeni; “sunucu ile ziyaretçi arasındaki SSL ile şifrelenmiş trafiği” gerçek zamanlı olarak decrypt eden bir yazılımın açıklanması idi. Halen Türkiye’deki e-ticaret sitelerinin çoğu “SSL” konusunda bu eksik bilgilendirmeye sahip. Öyle saniyorum ki gelecek donemlerde yaşanacak bir kaç kötü tecrübeden sonra bu durum değişecek.
turk-internet.com : Peki Türkiye’deki online bankacılık işlemleri konusunda neler düşünüyorsunuz? Bunlar güvenli mi?
Şahin : Türkiye’de bankalar çağın gereksinimlerini karşılamak ve sektördeki rakiplerinden geri kalmamak için her ne ölçekte olursa olsun internet bankacılığı yapma yarışındalar.
Bir sistem sistem yöneticisinin gözünde teorik olarak ne kadar güvenli ise benim gözümde de “teorik olarak” o kadar güvenlidir diyebilirim. Bugüne kadar bankacılık sektöründen çalıştığım bir kaç banka oldu. Bu çalışmaların gerçekten karşılığını aldılar diyebilirim.
Yapılan hataların çoğunluğu güvenlik yazılımlarının güncel tutulmamasından kaynaklanıyor. Yazılımların doğru konfigüre edilmemesi ve insan hataları diğer nedenler.