Sistemini sadece eğlence ve iş amaclı kullanan coğunluğun, belirli bir duzeyde bilişim bilgisi sahibi olması kabul edilebilir bir durumdur ve bizlerin bu tabakaya sahip olduğu bilgi duzeyi ile ilgili bir eleştirisi olamaz. Hatta ulkemizin sahip olduğu programcı yelpazesinin %90′ını kapsayan database programcısı veya i.t. staff sıfatını uzerinde taşıyan kişiler icin bile eleştiri kriterlerimiz son derece sınırlıdır.

Ancak yıllardır dikkatimi ceken ve uzulerek gozlemlediğim bir durum var ki; kendilerine Sistem Yoneticisi/Uzmanı veya Sistem Programcısı yaftasını takıp, ustelik uluslararası firmaların en ust bilişim kademelerinde calışan kişiler, uzerlerinde taşıdığı bu sıfatsal yukumluluğun cok azını bile yerine getiremeyecek bilgi birikimleri ile halen gorevlerini surdurmekte ve yapılan eleştirilere tahammulsuzluk gostererek bizlere kibir ile karşılık vermektedirler.

Yaşadığım bir cok tecrube ne yazık ki halen durumun değişmediğini, aksine ulkemizde yanlış uygulanan Sistem Uzmanlığı, Bilgisayar Muhendisliği, Sistem Programcılığı gibi eğitimler ile mezun edilen kişiler sebebi ile bu yaranın gittikce derinleştiğini gormekteyim. Eleştirilerimin insafsızca yaftalanmasını istemediğim icin onlarca ornekten sadece birini sizlerle paylaşmak isterim. Aşağıdaki niteliklere sahip bir şirket duşunun:

Uluslararası bir yapılanma

~12.000 calışan

~25 bolgesel domain

~2500 PC

~ 3700 kullanıcı

Yonetimsel yetkilendirmeler ve kısıtlamalar Windows Advanced Server, Network tabanlı iyileştirmeler ise Linux işletim sistemleri ile gercekleştiriliyor. Ayrıca uluslararası iletişim icin kullanılan ozel programlar ve sistemler mevcut. Dışarıdan gelebilecek saldırı olasılıkları icin piyasadaki unlu bir koruma sistemi ile calışılıyor ve periyodik olarak denetlemeleri ve guncellemeleri kontrol ediliyor. İceriden gelebilecek saldırılar icin ise sıkı group policy’ler mevcut ve her hareket loglanıp, tehlike sınırlarına gore mevcut threat-tracker ile raporlanıyor. En onemlisi şirket vulnerable ve threat-listlerdeki guncel acıkların hic birini bunyesinde bulundurmuyor. Diyelim ki siz bu şirkette calışan ve bilinen en kısıtlı user profilinde calışan bir kullancısınız. Şimdi kendinize şu soruyu sorun. Bulunduğunuz sistemde local admin olarak yetki sahibi olmanızın olasılığı ne kadar? Ya da tum domainlerin admin’i olabilme şansına ne kadar yakınsınız? Sanırım cevabı alınca yuzunuzde tatlı bir gulumseme veya benim gibi icinizde acı bir burukluk yaşayacaksınız. Cevabın suresel değilde hareket-zamansal bir cevabı olduğundan kısaca 7 mouse-click ve domain name’in string uzunluğuna gore klavye tuşu basımı diyebiliriz. Yanılmıyorsam tum bunları 15 saniyede gercekleştirebilirsiniz.

Peki bu acığı oğrendiğinizde bir calışan olarak ne yapardınız?

1-Bugune kadar tum sınırlamalardan sıkılmış biri olarak sistemin verdiği imkanları sonuna kadar kullanmayı mı?

2- Macera peşine duşup elinizdeki sınırsız haklarla tum networku zehirlemeyi mi?

3- Bu acığı ilgili birime bildirip, gerekeni yapmayı mı?

Ben zamanında 3. şıkkı denemiş ve cok buyuk hayal kırıklığı yaşamıştım. Karşılaştığım şey yukarıda bahsettiğim tipik kibirli Sistem uzmanı tavrı idi. Bu basit ve tek olmayan ornek bile bahsettiğim problemin vehametini anlatmak icin yeterli sayılabilir. Şayet ilk 2 seceneği kullanan biri olsaydım, sanırım aynı hayal kırıklığını yaşamazdım. Bircok web sitesinin uzmanı, biz guvenlik uzmanlarını dinlememeleri yuzunden heklendiklerini uzulerek soyluyorum. Bilişim sistemlerinin babası oLan Microsoft’tan ornek vereyim ve sizler de olayın ciddiyetini anlayın.


Microsoft – Eno7

Microsoft firmasını guvenlik acıkları nedeniyle uyarmış fakat uyarımın dikkate alınmadığını gorunce zone h kaydında da goruleceği gibi Microsoft Italya’yı (msn.it) web sitem olan eno7.org’a yonlendirmiştim.

Zone H Kaydı: http://www.zone-h.org/mirror/id/5615490

Dileğim, bilişim sektorunde bu tip risk ve sorumluluk gerektiren bilişim pozisyonlarında yer alan kişilerin niteliklerinin en ust duzey yeterlilikte olması ve surekli guncel bilgi ve donanım ile tazelenmesi yonundedir. Aksi takdirde elindeki sistemin bileşenlerinin kullanımından veya varlığından bile haberdar olmayan kişiler, sistemlerini her ne kadar da uluslararası normlarda koruduklarını duşunseler de yine aynı bilgisizlikleri yuzunden kendi elleri ile riske atabilemektedirler.

Şayet biri sizin web sitenize uyarı metni bırakmışsa emin olun tum sitenizi yok edecek guce de sahiptir. Bunun icin sizinle iletişim kurup, guvenlik acığınızın var olduğunu soyleyen kişilere kulak verip, bir an evvel guvenlik onlemlerinizi alınız. Şu da var; biri sizin sitenizde ufacık bir acık bulup, ana sayfanıza bir metin bırakmış ve sizden FTP veya Panel şifrelerinizi isteyerek guvenlik acığınızı kapatacağını soyluyorsa sakın inanmayın. Cunku biz guvenlik uzmanları site şifrelerini almadan, site yoneticisi veya adminini yonlendirerek, yoneticinin kendisine acık kapatma yontemini anlatarak guvenlik sağlarız. Makalenin bilişim sektorune faydalı olması dileklerimle, herkese guvenli gunler diliyorum.

Kaynak: Eno7 | http://eno7.org