turk-internet.com Notu : Bu haberi, ülkemiz belediyelerinin güvenlik konularına dikkati çekmek için yayınlıyoruz..
Uzmanlara göre San Francisco şehri bir anonim şirket olsaydı ve yakın zamanda yaşanan Terry Childs davasındakine benzer bir dikkatsizliğin yapılmasına izin verseydi kendisini federal bir soruşturmanın tam ortasında bulabilirdi ve Belediye Başkanı Gavin Newsom’da hapse düşmemek için savaş veriyor olurdu.
InternetNews.com’un görüştüğü güvenlik uzmanları San Francisco belediyesi IT departmanının içinde bulunduğu uygulama eksikleri konusunda dehşete düştüklerini belirtiyorlar. Bu uygulama eksikleri yine uzmanlara göre kurumsal dünyada olması halinde felaketle sonuçlanacak eksiklikler.
San Francisco şehrinin Teknoloji Departmanında bilgisayar network yöneticisi olarak görev yapan 43 yaşındaki Childs, bundan 2 hafta kadar önce dört ayrı bilgisayar kayıtlarını kurcalama suçuyla mahkemeye sevk edilmişti.
Childs, şehrin idari yetkililerine ait e-mail kayıtları, bordo kayıtları, çok gizli mahkeme dökümanları ve hapishanedeki suçluların yerleştirme dosyalarına (ki muhtemelen artık kendisininki de aralarındadır) ait pek çok veriyi barındıran San Francisco şehri FiberWAN’ını (Fiber Geniş Alan Networkü) kurcalamakla suçlanıyor.
Söylenenlere göre Childs kendisine sisteme erişim yetkisi veren bir şifre geliştirmiş. Polis bu şifreyi talep ettiğinde ise Childs sahte bir şifre vermiş ve tutuklanma tehdidine rağmen gerçek şifreyi vermeyi reddetmiş.
Childs’ın tutuklanmasının ardından avukatı Erin Crane San Francisco Chronicle gazetesi muhabirine müvekkilinin şifreyi vermeye hazır olduğunu ifade etti.
*Childs müzakereler sonucunda 21 Temmuz Pazartesi günü Belediye Başkanı Newsom’un kendisi ve avukatını hapishanede bizzat ziyaretinden sonra şifreyi vermeye ikna oldu. San Francisco Teknoloji Departmanı baş idarecisi ve yöneticisi Ron Vilson’a göre bu tarihten itibaren belediye tekrar tüm FiberWAN erişimine girmeye ve Childs’ın koyduğu şifreleri değiştirmeye vakıf oldu.
Childs avukatının tabiri ile “delilik” olarak nitelenen bir meblağ olan 5 milyon dolar kefalet ücreti ödenmediği için halen hapishanede kalmayı sürdürüyor. Bölge Savcısı Kamala Harris’in sözcüleri InternetNews.com’a konu hakkında yorum yapmaktan kaçınırken Childs’ın avukatı Crane de konu hakkındaki ısrarlı röportaj taleplerimizi geri çevirdi.
En kötü Uygulamalar?
Güvenlik ve uyum çözümleri sağlayan Splunk firmasının güvenlik strateji şefi Raffael Marty,güvenlik anlamında şehir sistemlerinde en iyi çözümlerin uygulanmamakta olduğunun net biçimde gözler önüne serildiğini ifade ediyor.
Marty InternetNews.com’a verdiği demeçte “Tüm krallığın anahtarının tek bir kişide olmasını istemezsiniz,” diyor
Marty “Childs’ın belediyenin IT sisteminde tüm konularda odak noktası durumunda olduğunu gördüm ve her şeyi tek bir kişinin ellerine bırakmak inanılmaz ölçüde kötü bir uygulamadır,” diyor ve ekliyor: “Görünüşe bakılırsa elinde kimsede olmayan bilgiler mevcut. Ortada hiçbir acil durum planı var gibi de gözükmüyor. Ya bu adama bir otobüs çarpsaydı? Güvenlik bakış açısıyla batkınızda bu inanılmaz derecede korkunç bir durum.”
Gartner araştırma firmasının güvenlik analisti Avivah Litan ise “söylemiştik” diyor.
Litan “Bu durum Gartner’ın müşterilerine her daim anlatmaya uğraştığı şeyleri doğrular nitelikte,” diyor. “Ayrıcalıklı kullanıcıların aktivitelerini kilit altına almalı ve bu kullanıcıları takip etmelisiniz.”
Litan ayrıca “Çalışanların takibi oldukça yetersiz,” diyor ve ekliyor: “İş çalışan aktivitelerine geldiğinde bu aktivite dolandırıcılık veya kötü amaçlı olsa bile, çoğunluk kafasını öbür tarafa çevirme eğiliminde. Bir sorunları olduğunu kabullenmek ve bu sorunu çözmeye çalışmak istemiyorlar.”
Childs’ın bu kadar çok veriyi fark edilmeden nasıl elde ettiği ise belirsizliğini koruyor. Chronicle dergisinde yayınlanan bir habere göre Belediye Başkanı Newsom Childs’ın “biraz manyaklaştığını” iddia ediyor. Vinson konu hakkında yorum yapmaktan kaçındı ancak şehir yönetiminin böylesi bir problemi engellemek için en doğru uygulamaları yürürlüğe koymaya çalıştığını ifade etti. Vinson InternetNews.com’a “ belli ki Childs bu uğraşlara karşı direnç göstermekteydi,” diyor.
Aslına bakarsanız her ne kadar çoğu şirket dışarıdan gelecek hacker faaliyetlerinden korkuyor olsa da veri hırsızlığında genellikle asıl suçlanması gerekenler çalışanlar oluyor. Childs örneği dışında milyonlarca müşterinin kaydını barındıran dosyaların zayıf güvenlik tedbirleri nedeniyle çalındığı TJX’te yaşanan vaka da buna bir örnek.
“Bana öyle geliyor ki networklerinde neler olup bittiğine dair en ufak bir fikirleri dahi yoktu.”
Güvenlik uygulamaları sağlayıcısı Xceedium firmasının İcra Kurulu Başkanı Cheryl Traverse “Bu yüksek risk taşıyan kullanıcı grubu [IT profesyonelleri] hakkındaki sorun şu ki, tüm içeriden yapılan saldırıların yüzde 86’sı hala çalışmayı sürdüren veya eskiden firma bünyesinde çalışmış olan teknik elemanlardan gelmekte,” diyor
Traverse şirketlerin genellikle güvenlik konusunda duvar örme yaklaşımı güttüklerini ifade ediyor. Bu yaklaşımda dışarıdakiler kilitlerin ardında tutulmuş oluyor ancak duvarlarla korunan bu alanlardakiler fazlasıyla özgür bırakılıyorlar. Traverse Childs vakasının da bu duruma bir örnek teşkil ettiğini ifade ediyor.
Traverse “İnsanların çalışabilecekleri ve kendilerinden beklenen görevleri icra edecekleri bir kompartman yaratabilmelisiniz daha sonra da bu çalışanları ait oldukları kompartmanlarda tutabilmelisiniz,” diyor.
Traverse sözlerini şöyle sürdürüyor: “Her şey erişim, uygun politikanın uygulanması, alarm ve önlemede çözülmekte. Eğer şehir networkünde de engelleme ve alarm özellikleri bulunsaydı, Childs eriştiği bilgilere hiçbir zaman erişemezdi ve bunu illegal yollardan yapabilse bile alarm sistemi devreye girerek patronlarını uyarırdı.”
Chronicle’ın yayınladığı raporlarda oldukça becerikli olarak tanımlanan Childs, tüm sorunlarda başvurulan kişi durumundaydı ve bu sebeple çok büyük bir erişim yetkisine sahipti. Splunk firmasından Marty şehrin IT departmanında neler dönmekte olduğu konusunda başka birinin en ufak bir fikri olup olmadığını merak ediyor.
Marty ” Bana öyle geliyor ki networklerinde neler olup bittiğine dair en ufak bir fikirleri dahi yoktu. Nasıl temizliğe başlayacaklarını bile bilmiyorlar,” diyor. “Ve bu durum açıkçası beni korkutuyor zira bu networkte yer alan bilgiler görüldüğü üzere oldukça mühim.”
Marty herhangi bir başka kullanıcının network altyapısına fiziksel erişim sağlayabilirse, sistemleri ve servisleri güven içinde sıfırlamanın ve yeniden başlatmanın mümkün olduğunu söylüyor.
Ancak Marty şehrin IT departmanının hangi sistemlerin etkilendiğini bilmediğini bunun da söz konusu işlemi çok daha zorlaştırdığını sözlerine ekliyor.
Şehrin networking altyapısını sağlayan Cisco Systems, şehir yönetiminin yeniden erişim sağlayabilmesi için birlikte çalıştıkları dışında konu hakkında bir yorum yapmaktan kaçınıyor.
Daha fazla güvenlik daha fazla izlenilebilirlik
Gartner’dan Litan diğer network yöneticileri networke erişim sağlasalar bile sistemlerin tamamıyla yeniden kuruluma ihtiyaç duyacağını zira Childs’ın geride ne gibi tuzaklar bıraktığının bilinemeyeceğini söylüyor.
Litan “Şifreyi elde etseler bile sistemleri şu ana dek kullandıkları gibi kullanamayacaklardır,” diyor. “Tüm sistemlerini yeniden kurmak zorunda kalacaklar zira Childs’ın ardında ne bıraktığını kimse bilemez ve bu da gerçekten şehre çok pahalıya patlayabilir.”
Vinson şehir yönetiminin de tam bu yolu izlediğini ifade ediyor. “Bizim en büyük endişemiz her şeyin kontrolümüz altında olduğundan yüzde yüz emin olabilmek ve sistemi tamamıyla fonksiyonel ve işler hale getirebilmektir.”
Şehir yönetiminin ayrıca iç güvenlik uygulamalarını da arttırması gerekecek. Vinson “Yaşanan bu sorunu güvenliğimizi geliştirme adına devam etmekte olan çalışmalarımızın bir parçası olarak da ele almalıyız,” diyor ve ekliyor: “Network ve network takibine ilişkin en iyi güvenlik uygulamalarını bulmaya çalışacağız. Savunmasızlık konusunda dış firmalar ile bir çalışmaya katıldık ve güvenlik mimarisi konusunda bir çalışmaya daha katılmayı düşünüyoruz.”
Ancak şimdiye dek dünyanın ileri teknoloji başkenti olarak nitelenen San Francisco şehrine yapılan harcamalar şehri maalesef sadece gülünecek bir duruma düşürmeyi başardı. Ya da bu son vaka ders çıkartılması gereken bir hikaye.
Uzmanlara göre ise benzer bir olay herhangi bir anonim şirkette yaşansaydı etkileri tek kelime ile yıkıcı olurdu.
Marty “Bu bir anonim şirket olsaydı, itibarınız da bu olayla birlikte kanalizasyondan akar gider ve borsadaki hislerinizin fiyatı bir anda dibe vururdu,” diyor. “Yöneticileriniz bu durumdan sorumlu bulunur ve büyük ihtimalle hapsi boylarlardı.”
Litan da bu olayda yalnızca Childs değil başka kişilerin de sorumlu bulunması gerektiğini düşünüyor.
Litan “Bütün bir organizasyon bu işten sorumludur ve Childs bir günah keçisi durumuna düşürülmektedir,” diyor ve ekliyor: “Yine de bunun yanına kalmaması gerekir. Bir kişinin nasıl bu kadar fazla erişime sahip olabileceğini aklım almıyor.”
Kaynak : 