Açık Kaynak Neden Daha Güvenli?

Bilgisayar güvenliği için sayılabilecek pek çok önlem arasında en önemlisi hiç şüphesiz açık kaynak yazılım kullanmak. Eğer açık kaynak bir işletim sistemi ve üzerinde de mümkün olduğunca açık kaynak yazılım kullanmıyorsanız, alacağınız diğer önlemlerin sizi nereye kadar koruyacağı bir hayli tartışmalı hale gelir.

Eğer kaynak kodları kapalı bir yazılım kullanıyorsanız, yazılımın sıradan işlevinin dışında, arka planda ne yaptığını bilmeniz doğal olarak mümkün değil. Yazılımın içine size zarar verebilecek, bilgilerinizi çalıp başka bir yere gönderebilecek, yazılım üzerinde hakimiyet kurmanızı engelleyecek kodlar ve algoritmaların eklenip eklenmediğinin garantisini kimse veremez. Böyle durumlar halihazırda zaten yaşanmakta. Pek çok kapalı kaynak kodlu yazılımın içinde bulunan kodlar sayesinde belirli bir süre sonunda yazılımın lisans süresi sona ermekte ve sizi yeni lisans satın almaya zorlamakta.

Linux'ta ise açık kaynak yazılımlar kullandığımız için böyle bir durum mümkün değil. Yine GPL, BSD gibi lisanslara sahip olmayan açık kaynak yazılımlar olsa bile bunların içinde bu tür komutlar bulundurulamıyor.

Başka bir örnek verecek olursak, yine kaynak kodu kapalı yazılımlarda, yazılımın üreticisi bir güncelleme ile elinizdeki yazılıma müdahale edebiliyor ve siz de bunun farkında olmuyorsunuz. Geçtiğimiz yıllarda Çin'de, korsan Windows kullanan pek çok insanın bilgisayarında bir güncelleme sonucu bilgisayarları her açıldığında ekranda kısa süreliğine de olsa bir bug görünüyordu. Microsoft, böylece korsan Windows kullanıcılarının önünü bir güncelleme ile kesmeye çalışmıştı. Tabii, ne Windows'un ne de söz konusu güncellemenin kaynak kodları bilinmediği için kurulmuştu. Bu belki korsana karşı bir önlemdi ama başka amaçlar için de aynı şeyin yapılmayacağını /yapılmadığını nereden bilebiliriz?

Bir örnek daha verelim: Windows 7 ilk çıktığında “Windows 7'ye arka kapılar (backdoor) eklendiği ve kullanıcının bilgilerini gizlice Microsoft'a gönderdiği” iddiası ortaya atıldı. Microsoft ise böyle bir şeyin olmadığını belirtti. Elbette kaynak kodları bilinmeden, elde bir kanıt olmadan böyle iddiaları ortaya atmak iftira atmaktan başka bir şey olamaz belki fakat yine de bu iddiaların gerçek olmadığını, kaynak kodlarını göremediğimiz için kanıtlayamıyoruz. Microsoft, kaynak kodlarını göstermediği sürece bundan emin olamayız, sadece şirketin sözüne inanarak hareket edebiliriz. Şirketin sözüne güvenip güvenmemek ise kullanıcının kendi tercihine kalmıştır.

Sadece Windows'tan örnek vermiş olsak da bu durumun sadece Microsoft'un ürettiği yazılımlarla sınırlı olduğunu söyleyemeyiz. Bütün kapalı kodlu yazılımlar için aynı derecede şüphelenmemiz gerekiyor. Bu yazılımları geliştirenlerin bu şüphelerin bir temelinin olmadığını kanıtlamaları için kodları göstermekten başka bilinen bir yolları yok. Çünkü bu durum biraz yediğiniz pastaya benziyor. Satın aldığınız pastanın tadına ve görünümüne bakarak içindeki hangi malzemelerin bulunduğunu ve bu pastanın ne şekilde yapıldığını sadece tahmin edebilirsiniz, tarifi bilmezsiniz. Açık kaynak yazılımları ise tarifiyle birlikte dağıtılan bir pasta gibi düşünebilir, ne şekilde yapıldığını ve hangi malzemelerin kullanıldığını görebilir, içinde sağlığınıza zararlı bir şeyin bulunmadığına emin olabilir, aynısını ya da farklı biçimlerini evde deneyebilirsiniz.

Bu nedenle açık kaynak işletim sistemi ve diğer yazılımları kullanarak sistemin sizi arkadan vurmadığını kendiniz görebilirsiniz. Eğer kaynak kodlardan bir şey anlamıyorsanız bu sorun değil, dünyanın dört bir yanındaki binlerce yazılım geliştiricisi bu kodları anlıyor. Diyelim ki birisi Linux'ta kullanıcıya zarar verecek bir kod ekledi, hiç sorun değil. Dünyanın her yerindeki yazılım geliştiricileri bunu görüp, “Neden ekledin bu kodu, senin derdin ne?” diye sorabilir. Söz konusu durum hemen düzeltilebilir. Örneğin, geçtiğimiz yıllarda Mozilla Firefox'un Vietnam dilindeki sürümünün içine zararlı yazılım eklendiği fark edildi. Eğer Mozilla Firefox, kapalı kaynak bir yazılım olsaydı bunu kimse fark edemeyecek ve sadece bunu yapan kişi bilecek, yazılımı kullanan insanlar bundan zarar göreceklerdi. Fakat Mozilla Firefox, açık kaynak olduğu için durum hemen fark edildi ve sorun düzeltildi..

Yazar: Okan Akıncı
Kaynak: SUDO E-Dergi 19. sayı

İlgili Yazılar:
Devlet Pardus'a geçmeli mi?
Windows 7 incelemesi
Linux Dağıtımları ve Linux'u Denemek
Sanallaştırma Nedir? VMware ile Sanal Makine Kullanımı

Yazının devamı..

Son günlerde yaşanan internet problemleri hakkında

Son günlerde internette yaşanan sorunların nedeni anlaşıldı: Youtube'un IP adreslerinin TİB'in bildirimi üzerine TürkTelekom gibi servis sağlayıcılar tarafından bloklanması ve bu IP'lerin bir kısmının diğer Google servisleri (Google Anaytics, Translate, Docs..) tarafından da kullanılıyor olması nedeniyle sözkonusu Google servislerine erişilemiyor.

Yani Youtube yasağı yüzünden Google'ın diğer bazı servisleri de dolaylı olarak, -kasten yapılmadığı halde- Türkiye'de yasaklanmış oldu. Özellikle Analytics servisine ait kodlar birçok sitede kullanıldığı için bu engelleme internette geniş çaplı probleme yol açtı.

Ancak daha önce de bahsettiğim gibi bu yöntemler site engellemeleri için kalıcı çözüm değil. Google'a ait belki yüzlerce IP bloğu var ve Youtube'un yarın başka bir IP kullanmayacağı da belli değil. DNS üzerinden engelleme zaten DNS değiştirilerek kolayca aşılıyor. Eğer mahkemelerin bildirdiği siteler gerçekten engellenmek isteniyorsa, kesin çözüm İnternet Servis Sağlayıcıların içerik filtreleme yapmalarını istemek olacaktır sanırım. Hem bu yöntemle kanunen zaten yasak olan çocuk pornosu gibi katalog suçları barındıran siteler de komple engellenebilir..
Serdar Kocaoğlu
MCSE:S

İlgili yazılar:
Google'ın Marifetleri
Google'dan DNS Hizmeti
Yasaklanan sitelere girmek suç mu?
DNS Ayarlarına Dikkat!

Yazının devamı..

Bilişim Güvenliği Anket Sonuçları

45 gün süreyle bu sitede düzenlediğim Bilişim Güvenliği Anketi'nin sonuçlarını aşağıda bulabilirsiniz. Katılımlarınız için teşekkürler..

Katılımcı Sayısı: 315

İşyerinizde Bilişim Güvenliği için aşağıdakilerden hangileri uygulanıyor?

Web içerik (URL) filtrelemesi yapılıyor 162 (51%)
Facebook vb. sosyal paylaşım siteleri engelleniyor 148 (46%)
MSN, ICQ vb. messengerlar engelleniyor 114 (36%)
Teamviewer vb. engelleniyor 75 (23%)
Skype vb. engelleniyor 84 (26%)
LimeWire vb. engelleniyor 108 (34%)
Rapidshare vb. dosya paylaşım siteleri engelleniyor 115 (36%)
Ultrasurf vb. proxy veya tünel programları engelleniyor 88 (27%)
Kullanıcılara Admin yetkisi verilmiyor 98 (31%)
Program kurmak engelleniyor 99 (31%)
USB Bellek, CD yazıcı veya harici disk kullanımı yasak 70 (22%)
Yazıcı kullanımı kısıtlanıyor 43 (13%)
Ekran görüntüsü almak engelleniyor 42 (13%)
Ağ/İnternet Kullanıcı Sözleşmesi imzalatılıyor 62 (19%)
Kullanıcıların internet erişim bilgileri kaydediliyor 85 (26%)
Antivirüs kullanılıyor 128 (40%)
Veri sızması engelleme yazılımı kullanılıyor 56 (17%)
Spam mailler engelleniyor 94 (29%)
Firewall kullanılıyor 107 (33%)
IDS/IPS kullanılıyor 62 (19%)
Web Application Firewall kullanılıyor 65 (20%)
Database Firewall kullanılıyor 50 (15%)
Ağ Erişim Kontrolü (NAC, 802.1x vb) uygulanıyor 59 (18%)
Dijital (Elektronik) İmza kullanılıyor 52 (16%)
Karmaşık şifre kullanımı zorunlu 65 (20%)
Birimler arası ağ iletişimi kısıtlanıyor 59 (18%)
Lisanssız (kaçak, crackli) yazılım kullanımı engelleniyor 82 (26%)
IP, MAC adresi değiştirmek engelleniyor 71 (22%)
Windows güncellemeleri zorunlu tutuluyor 76 (24%)
Ağ ve uygulamaların güvenlik açıkları taranıyor 64 (20%)
Kullanıcılar bilişim güvenliği hakkında bilgilendiriliyor 56 (17%)
Güvenlik için açık kaynak kodlu yazılımlar tercih ediliyor 45 (14%)
Geliştirilen yazılımlarda güvenli kodlamaya önem veriliyor 53 (16%)
Bilgisayar ve sunucular arasında ağ iletişimi kriptolu yapılıyor 60 (19%)
3G, dial-up, adsl, AP engelleniyor 68 (21%)

--------------------------------------------------------------------

Eski Anketler:
Bilgisayar ve internet güvenliği için ne tür programlar kullanıyorsunuz?
TC Kimlik numaralarının yayınlanması hakkında anket sonuçları

Yazının devamı..

Google'ın Ağzından Türkiye'deki Youtube Yasağı

Bilindiği üzere Google'a ait olan Youtube video paylaşım sitesi Türkiye'de yaklaşık 2 yıldır yasaklı. Google, kendi resmi blogunda yayınladığı bir yazı ile farklı ülkelerde yapılan site engellemelerine değindi. Sözkonusu yazıda Türkiye'deki Youtube yasağı da şu şekilde yer alıyor:

"Bir ülkede suç teşkil eden bir içerik varsa, biz o içeriğe erişimi sadece o ülke için kısıtlarız. Örneğin Türkiye'de, modern Türkiye'nin kurucusu Mustafa Kemal Atatürk'e hakaret eden videolar yasadışıdır. 2 yıl önce, Youtube'da böyle bir içeriğin varlığı bildirilince, sözkonusu videolara Türkiye'den erişimi engelledik. Sonradan bir Türk Mahkemesi videoları tamamen kaldırmamızı isteyince, Türk kanunları Türkiye dışında uygulanamaz fikriyle bu isteği reddettik. Sonuç olarak Youtube Türkiye'de yasaklandı." Rachel Whetstone, Vice President, Global Communications and Public Affairs, Google, 4/19/2010

Serdar Kocaoğlu
MCSE:S
27.04.2010

Yazının devamı..

Bilişim Güvenliği Anketi

Bilgi ve iletişim teknolojileri geliştikçe kullanım alanları da gittikçe yaygınlaşıyor ama bu durum güvenlik zaafiyetlerini de beraberinde getiriyor. Bu nedenle orta ve büyük ölçekli bir çok firma veya kurum, bu zaafiyetleri giderici önlemler almaya çalışıyor. Ülkemizde bu önlemlerin yaygınlığını ve ne düzeyde olduğunu merak ettiğim için bir anket hazırlamaya karar verdim. Ankete aklıma geldiği kadarıyla bir çok cevap eklemeye çalıştım ancak unutmuş olabileceklerim dışında detaya girmemek için ihmal ettiğim konular da oldu. Ankete katılmanızı ve bildiğiniz kadarıyla cevaplamanızı umuyorum. Eğlenceli bir anket olduğunu düşünüyor ve sonuçları dört gözle bekliyorum. Serdar Kocaoğlu - MCSE:S - 15.04.2010

Anket:

İşyerinizde Bilişim Güvenliği için aşağıdakilerden hangileri uygulanıyor?

Web içerik (URL) filtrelemesi yapılıyor
Facebook vb. sosyal paylaşım siteleri engelleniyor
MSN, ICQ vb. messengerlar engelleniyor
Teamviewer vb. engelleniyor
Skype vb. engelleniyor
LimeWire vb. engelleniyor
Rapidshare vb. dosya paylaşım siteleri engelleniyor
Ultrasurf vb. proxy veya tünel programları engelleniyor
Kullanıcılara Admin yetkisi verilmiyor
Program kurmak engelleniyor
USB Bellek, CD yazıcı veya harici disk kullanımı yasak
Yazıcı kullanımı kısıtlanıyor
Ekran görüntüsü almak engelleniyor
Ağ/İnternet Kullanıcı Sözleşmesi imzalatılıyor
Kullanıcıların internet erişim bilgileri kaydediliyor
Antivirüs kullanılıyor
Veri sızması engelleme yazılımı kullanılıyor
Spam mailler engelleniyor
Firewall kullanılıyor
IDS/IPS kullanılıyor
Web Application Firewall kullanılıyor
Database Firewall kullanılıyor
Ağ Erişim Kontrolü (NAC, 802.1x vb) uygulanıyor
Dijital (Elektronik) İmza kullanılıyor
Karmaşık şifre kullanımı zorunlu
Birimler arası ağ iletişimi kısıtlanıyor
Lisanssız (kaçak, crackli) yazılım kullanımı engelleniyor
IP, MAC adresi değiştirmek engelleniyor
Windows güncellemeleri zorunlu tutuluyor
Ağ ve uygulamaların güvenlik açıkları taranıyor
Kullanıcılar bilişim güvenliği hakkında bilgilendiriliyor
Güvenlik için açık kaynak kodlu yazılımlar tercih ediliyor
Geliştirilen yazılımlarda güvenli kodlamaya önem veriliyor
Bilgisayar ve sunucular arasında ağ iletişimi kriptolu yapılıyor
3G, dial-up, adsl, AP engelleniyor

Yazının devamı..