Siber Güvenlikte Düşük Seviye Açıklık Nedir | |||||
Merhaba, bu makalede siber güvenlik sektöründe çalışan kimselerin kullandıkları otomatize açıklık tarayıcı yazılımlarda raporlanan "Düşük" seviye açıklıkların işlevi ve müşteriye sunulacak raporda müşteriye Düşük seviye açıklığın nasıl izah edilebileceği açıklamaları yapılacaktır. Bu açıklamalar web uygulamalarına sızma testleri özelinde örneklemeler ile anlatılacaktır, fakat açıklamalar genel kapsamda da değerlendirilebilir.
Siber güvenlik dünyasında elektronik sistemlerin ve üzerinde çalışan uygulamaların güvenliği kademe anlayışıyla çalışır. Siber güvenliğe yabancı kimseler veya siber güvenlikte acemiler güvenliğe kademe anlayışıyla yaklaşıldığı bilincinde değiller ve resmin bütününü bu nedenle görememekteler. Güvenlik kademe ve kademe şeklinde çalışır. Tıpkı devletlerin birbirlerine karşı askeri güvenlikte kademe kademe güvenlik önlemleri alıyor olması gibi. Her kademe kazanç veya kayıptır. Sektörde çalışan kimselerin müşteriye sunmak üzere hazırladıkları sızma testi raporlarında değerlendirmenin Yüksek varsa rapor elle tutulurdur / geçerlidir, yoksa çöptür şeklinde görülmesi güvenliğin g'sinin dahi anlaşılmadığını / bilinmediğini gösterir. Müşterinin Düşük seviye açıklıkları ve ehemmiyetini anlayamaması bir açıdan doğaldır, fakat aynı şey sektörde çalışan kimselerde de vardır. Düşük açıklığın ehemmiyetinin tarif edilememesi müşteri nazarında beş para etmez iş yapılmış olarak görülebilir. Bu durum tamamen işi yapan tarafın ve işin raporlamasını alan muhatabın işi bilmiyor oluşundandır. Sektöre yabancı veya sektörde acemi kimseler otomatize açıklık tarayıcı yazılımların raporladıkları Düşük seviyeli açıklıkların ne işe yaradığını somut olarak anlamazlar. Buna ilaveten Yüksek açıklığı da esasında anlamazlar. İşi yapanın ve işi alan tarafın Yüksek açıklığa bakışları yanlış şekilde olabilmektedir. Düşük açıklığı açıklamak için önce Yüksek açıklık nedirden başlayalım. Yüksek sayılan açıklıklar sanılmaktadır ki (sözüm SQL Injection v.b.'lerinden ve sıradan ev bilgisayarları ile web sunucuyu servis dışı bırakma saldırıları Slow Http v.b.lerinden dışarı) tuşa bas ve sız. Esasında Yüksek diye raporlanmış açıklık ile kazanç elde edebilmek için gerçek hayatta birçok şart o kapsamda var olmalıdır. Yani bir Yüksek'in çalışması için birden fazla başka yan yol / şart açık olmalıdır. Ama g'ciler (güvenliğin g'sinden anlamayanlar) bunu anlayamamaktadır. Örneğin XSS açıklığı. Yüksek açıklıktır. Fakat XSS'in gerçekten çalışması için zaman ve ayrıyetten yan şartlar açık olmalıdır. Aksi takdirde XSS açıklığı var olsa da açıklıktan kazanç elde edilemeyebilir. G'ciler aldıkları raporda Yüksek'i görünce tamam bu iş derler, ama aslında anlamazlar. Düşük'ü anlamadıkları gibi. Yüksek diye raporlanan açıklık esasında ilgili tarafın 100% o açıklık yoluyla zarara uğrayacağını göstermez. Çünkü Yüksek açıklık yan şartlar / yollar isteyebilir (ki çoğu zaman ister). Yan şartlar / yollar açık değilse Yüksek açıklık var olsa dahi zarar görülmez. Ancak güvenliğe kademe anlayışıyla yaklaşıldığından yan şartlar / yollar bir gün imkan vermez, fakat sonra imkan verir olabilir diye Yüksek açıklık kendi başına açıklık olarak raporlanır. Örneğin bir yüksek açıklığın gerçek hayatta çalışması için basitleştirilmiş bir gösterimi şu şekilde verebiliriz: if ($şart1 && $şart2 && $şart3 && şart4 && $YüksekAçıklık){ echo "Sızdın / Yarar Elde Ettin"; } Burada Yüksek açıklık olarak birçok açıklık sayılabilir ve Yüksek açıklık yerine koyulan açıklığa göre şart sayısı artabilir veya azabilir. Ama XSS'den devam edecek olursak birinci şart zamandır. Yani XSS açıklığı kullanıcının davranışına göre tetiklendiğinden kullanıcının açıklık noktasına gelmesi beklenir. İkinci şart uygulama sunucusunun CORS önlemi kullanmıyor olmasıdır. Yani bu sayede uzaktaki saldırgan üçüncü taraf konumunda olan kendi sunucusuna kullanıcı bilgisini çekebilir olur. Üçüncü şart uygulama sunucusunun XSS önleyici http güvenlik başlığı kullanmıyor olmasıdır. Yani bu sayede kullanıcı açıklık noktasına geldiğinde açıklıktan etkilenebilir olur. Bu gibi şartlardan biri sağlanmazsa Yüksek açıklık XSS uygulamada yer alıyor olsa dahi açıklıktan kazanç elde edilemeyecektir. Not: Şartlar kısa süreli oturum timeout'ı kullanmıyor olması vs. şeklinde uzatılabilir. Bundan hareketle Düşük açıklıklara gelecek olursak Düşük açıklıklar sızma / yarar elde etme yolunun önüne geçmek için ara engel kademeleridir. Kimi zaman inatçı, kimi zaman zayıf engel kademeleridir. Düşük açıklık örneğin saldırganların istihbari değeri olan hedef sistem hakkındaki verileri görmemesine dönük saklama ve sistem gizliliğini sağlamaktır. Örn; Sunucu Yazılım Bilgisinin İfşa Edilmesi düşük seviye açıklığının kapatılması sonucu saldırganların hedef sistemin yapısını görebilecekleri bir fotoğrafını çekemeyecek olması gibi. Düşük açıklık örneğin saldırganların saldırı motivasyonunu / enerjisini hedef sisteme çalışma kapsamını arttırmak yoluyla harcama, yorma, pes ettirme ile misal gizli bir açıklığın keşfine ulaşmasını engellemektir. Örn; Http Options Metodunun Açık Bırakılması düşük seviye açıklığının kapatılması sonucu saldırganların çalışma kapsamlarının arttırılması gibi. Düşük açıklık örneğin yukarıdaki Yüksek açıklık yan şartlarından biri veya birkaçıdır ve yan şartların iptal edilmesiyle sızma imkanı sunacak yüksek açıklık olsa dahi sızılamamasını sağlamaktır. Örneğin Http Güvenlik Başlıklarının Kullanılmaması düşük seviye açıklığının (yan şartının) kapatılması ile ilgili yüksek açıklık olsa dahi faydanın elde edilememesi gibi. Büyük resmi (siber güvenlik sızma girişimlerinin kapsamını / çerçevesini) bilemeyen, göremeyen Düşük seviye açıklık mı pff der. Eften püften görür. O zaman soru; Niye sektörde bilinen tanınan yabancı açıklık tarama araçları Düşük seviye açıklıkları raporluyor? Demek ki bir işe yarıyor, değil mi? Ama ne işe yaradığını g'ciler anlamamaktalar. Düşük seviye açıklıkların ne işe yaradığını anlamak büyük resmi görmeyi gerektirir. Bunu tahminimce sektörde çalışmış, etmiş, yıllanmış ve geriye dönüp bu şekilde Düşük seviye açıklıklar üzerine kafa yoran bir çalışan birikimi sonucu görebilir. Buna tecrübe adı verilir. Yüksek seviye açıklık XSS'den devam edecek olursak örneğin http güvenlik başlığı olan Content-Security-Policy bir ara engel kademesidir. Bu varsa avantajları ve dezavantajları bir yana yüksek seviye açıklık XSS var olsa dahi çalışmaz, işe yaramaz. Ama bakan kimse Content-Security-Policy mi, konfigurasyon ayarı mı, pff der ve Düşük seviye açıklık der sallar. Halbuki bu güvenlik kademesi olan bir sistem içerde zafiyete uğrasa da dışardan korumayı sürdürecektir. G'ciler güvenliğin kademe kademe perspektiften çalışan bir sistem olduğunu bilmezler. Örneğin sahadan gelen bir tecrübeye kulak verecek olursak X şahsına ait bir web uygulamasında görülen düşük seviyeli Directory Listing açıklığı yoluyla web uygulaması hack'lenmiştir ve arayüzüne deface atılabilir (tahrip edilebilir) hale gelinmiştir. Bu durum v.b.'leri düşük seviye açıklıkların hafife alınmaması gerektiğini gösterir ve şu cümleye dikkat edilmelidir.
"Her bir kritiklik seviyesi düşük olan açıklıkta başarılı sızma girişimine gidebilecek bir yol vardır."
Stratejik kuruluşlar sistemlerinde küçük (yani düşük seviyeli) açıklık çıktığında bu küçük açıklıkları büyük açıklıkmış gibi görüp kapatması yoluna gitmelidir. Fakat kuruluş stratejik önemde değilse - gerçekçi yaklaşacak olursak - bu tür sistemlerde tespit edilen küçük açıklıkların büyük açıklıkmış gibi görülmesine tabii ki gerek yoktur. Stratejik kuruluşlar ve stratejik olmayan kuruluşlar arasında küçük açıklıkların sunduğu risk aynı oranda değildir ama her ikisinde de risk değişken de olsa risk payı vardır ve bu nedenle bu açıklıklar kapatılmalıdır. Stratejik kuruluşlar bu konuya çok eğilmelidir, fakat stratejik olmayan kuruluşlar için aynı şey söz konusu olmayabilir. Sonuç olarak listelenen düşük seviyeli açıklıklara bu perspektiften bakılmalıdır. Altçizgi Bu bilgiler yabancı sektörde bilinen tanınan hiçbir açıklık tarayıcı yazılımın bulduğu açıklık tanımlarında veya web site makalelerinde bahsedilmez, yer almaz. Informational (Bilgisel Açıklık), veya Düşük Açıklık olarak geçer, ve derinliğinin sebep ve sonuç halinde anlatılmadığı yüzeysel açıklamalarla sunulur. Bu makalede paylaşılan bilgiler ise sektörde çalışmış, etmiş, yıllanmış çalışanların birikimleriyle geriye dönüp Düşük seviye açıklıkları irdelediğinde anlayabilecekleri, fark edebilecekleri bilgilerdir. |
|||||
Bu yazı 17.01.2020 tarihinde, saat 10:20:23'de yazılmıştır. 29.09.2024 tarihi ve 17:31:21 saatinde ise güncellenmiştir. | |||||
|
|||||
Yorumlar |
|||||
|
|||||
Yorum Ekle | |||||