Carnegie Mellon Üniversitesi Yazılım Mühendisliği Enstitüsü (SEI) teknik ekip üyesi Shawn Hernan, yazılım açıklarının, kuruluşlara zaman ve paraya mal olan vergiye bedel olduğunu söylüyor.
2002 yılında 4.129 yazılım açığı Carnegie Mellon’un CERT Eşgüdüm Merkezi’ne (CERT/CC) rapor edilmiş ve Hernan’ın Ga. Mariette’da yakın zamanda düzenlenen Güvenlik Forumu’nda (Enstitü’deki faaliyetlerin basınla paylaşılması normalde yasak ama ancak Hernan sıkça benzeri konuşmalar yaptığı için enstitü bu durum için bir istisna yapmayı kabul etti) Uygulamalı Ağ Güvenliği Enstitüsü’nde (Kısaca “Enstitü”) yeni yaptığı bir sunumunda dediğine göre ekip 2003 yılında 5.500 tane daha yazılım açığı bulunacağını tahmin etmekte.
Bu yazılım açıklarının tanımlarının okunması, ki her birinin 20’şer dakika süreceği tahmin ediliyor, günde 8’er saatten 229 gün sürer. Eğer kuruluşunuz bunların sadece %10’undan etkilendiyse, bu açıklardan 550’sine yama yapmanız gerekli demektir. Her bir yamanın birer saat sürdüğünü kabul etsek, 69 iş gününü de bu yamaları kurmak için gözden çıkarmak gerekecektir. Üstelik bu söylediklerimiz basit bir sistem için geçerli olan rakamlar.
Açık seçik görülüyor ki kuruluşların çoğunluğu bu tür yazılım açıkları için böyle bir zaman harcamıyorlar, çünkü bu yapılabilir bir şey değil. Sonuç olarak bu kuruluşlar ancak kendilerini etkileyen yazılım açığı bilinir olduktan sonra – ve sistemlerindeki açığı yamayana dek, süresiz olarak- saldırıdan şüphelenirler.
Sözgelimi 2001 Mayısında sysadmin/IIS kurtçuğu, Solaris makinelerini 18 aydır duran bir açık ve IIS sunucularını 7 aydan beri duran bir açıktan yararlanarak vurdu. Hernan, yine de binlerce makinenin tehlikeye atıldığını söylüyor.
Yazılım açıklarının yol açtığı külfet bir yana, tehlikeye atılan sunucular açısından daha büyük maliyete neden olmaktadırlar – davetsiz misafirin hedefi sizin kuruluşunuz olmayabilir. Hernan, çalıntı kredi kartı numaralarına karşılık saldırı başlatmak için kullanabilecekleri tehlike altındaki sistem bilgilerinin takas edildiğinden bahsetti. Bu da esasen demek oluyor ki her kuruluşun değerli bir şeyi vardır – yani sunucuları.
Sorunu çözmenin ve yamalama angaryasından kurtulmanın anahtarı yazılım kalitesini geliştirmektir.
“Eğer güvenlik stratejiniz yama üretimine önem veriyorsa ve kaliteyi önemsemiyorsa kaybetmeye mahkumsunuz demektir” diyor Hernan. Sözgelimi Arabellek taşmaları “artık kabul etmememiz gereken bir sorun türü.”
Sırası geldikçe yazılım kalitesini geliştirmek bu kuruluşların “sola kaymaları”nı yani güvenlik meselesini, yazılım geliştirme sürecinin erkan aşamalarında düşünmeye başlamalarını gerektirir. Hernan: “Güvenlik meselelerinin çoğunluğuna, en iyi, tasarım aşamasındayken eğilinilir.” diyor.
Bu çabaya yardımcı olmak adına, SEI ve CERT/CC, var olan TSP ilkelerini temel alarak kurulan yüksek kaliteli güvenlik yazılımı üretimi işleyiş ve yöntemleri kümesi olan Team Software Process’i (TSP – Ekip Yazılımı İşleyişi’ni) geliştirdiler. SEI, dükkanlara, kendi TSP-Güvenli yöntemleri kapsamında eğitmeyi ve Hernan’a göre şaşırtıcı derecede parlak sonuçlar vermeyi vaat ediyor.
Bir grup Microsoft programcısı pilot bir TSP-Güvenli kursuna katıldı ve bu işleyişi geliştirmekte oldukları bir ürün üzerinde denediler. Bireysel olarak programcılar, hataların %50’si ila %85’ini yazılım kodu inceleme aşamasında buldular. Hernan, yine de toplu olarak denediklerinde ise hataların %95’ini bulduklarını söyledi. Tüm hatalar söylenip de düzeltildikten sonra işleyiş sadece bir tane hatanın bulunmamış kaldığını tahmin etti. Vay canına, ürün programlanandan daha önce tamamlandı.
Hernan: “Eğer yazılımı nasıl inşa ettiğinize yönelik daha disiplinli bir yaklaşım izlerseniz, bu sorunların bir çoğunu sürecin daha başında önleyebilirsiniz.” diyor.
Carnegie Mallon’un TSP ve CERT/CC ekipleri, TSP-Güvenli yöntemi daha da düzeltmelerinde ve tanıtmalarında kendilerine yardımcı olarak başka erken-benimseyiciler arıyorlar. Daha fazla bilgi için http://www.sei.cmu.edu/tsp/tsp-security.html adresine bakın. Desmond, Mass. Eyaleti Framingham’daki bir bilişim teknolojisi yayım firması olan Paul Desmond Editorial Services (yayıncılık Hizmetleri – www.pdedit.com ) şirketinin başkanıdır.
Kaynak : 