Her gün binlerce bağlantının eklendiği Blinklist‘te yine bir güvenlik açığı bulundu. Sistemde bulunan SQL cümleciklerini ifşa eden hata mesajlarından biran evvel kurtulmalı, sistemlerini daha güvenilir hale getirmeliler.

Şimdide Türkçe bilmeyenler için:

We have encountered a new security problem in Blinklist. Since we can see some of the SQL statements of the system in error messages, we call it as a security problem.

I clicked on a link in the homepage of Blinklist. After waiting for a while, I got the error message as in the screenshot.

Blinklist developers fixed the bug that I reported in few days, so I expect them to fix this problem as fast as they can.

BlinkList‘te inanılmaz bir güvenlik açığı. Adres çubuğuna http://www.blinklist.com/search.php yazın, işte size SQL cümleciği. Buradan gayet ciddi bilgiler edinilebilir.

[26 Mayıs, Güncelleme] Blinklist uyarımızı hemen dikkate almış, bu bizi sevindirdi. Kendilerini hata-temizlemedeki hızları için tebrik ediyoruz.

Türkçe bilmeyenler için İngilizcesi:
Here is the BlinkList’s huge security issue. When you write http://www.blinklist.com/search.php to address bar, you will get the query as an error message. Some people can get confidential information by looking at those queries. Anyway, I hope Blinklist fixes this bug as soon as possible. Let’s see…

[26 May, Update] It seems that Blinklist fixed the bug after our post. I congratuate them for their fast response. Good job guys.

Hergün defalarca girmek zorunda olduğumuz şifrelerimizin güvenliğini hiç sorguluyor musunuz? Nasıl tutuluyorlar, haklanmaya açıklar mı, korunmasızlar mı, (sadece bir kişi dahi olsa) kişilerce görülebiliyor mu?…

Uzun lafın kısası, şifrelerimizi şifreliyorlar mı (encrypt) ?
yada, şifrelenmiş (encrypt) şifrelerimizi çözümleyebiliyorlar mı (decrypt) ?
Mehmet Büyüközer bu önemli konuya parmak basmış. Bunu kısmen öğrenebilmenin bir yolunu bizlere bildiriyor: “Şifremi Unuttum” uygulamalarını gözlemlemek. Şöyle demiş:

Eğer site sahipleri sizin verdiniz şifreyi şifreleyip (encrypted) veritabanına kaydetmediyse, veritabanına erişimi alan kötü niyetli bir kişi sizin e-mail adresinize rahatlıkla erişti demektir. Bunu anlamak için de uygulanabilecek tek metod “Şifremi Unuttum” / “Forgot Password” seçeneğini kullanmanız. Eğer site size siteye kayıd olurken verdğiniz şifrenin aynısını yolluyorsa şifreniz şifrelenmeden (encrypted) tutulmuş demektir. Eğer o sitenin veritabanı hackerlar tarafında ele geçirilirse (bundan önce yaşanmış örneği çoktur) site üyelerinin banka hesaplarına kadar erişilmesi mümkün olabilmektedir.

Ayrıntılar ve devamı için Mehmet Büyüközer’den Şifremi Unuttum - Forgot Password yazısını okumalısınız.

Milliyet gazetesinde 18 Şubat 2005 tarihinde çıkan haber şöyledir.

‘’Dizüstü bilgisayar'’ kampanyası ulusal güvenlik sorunu oluşturur mu? CHP Uşak milletvekili Osman Coşkunoğlu, ABD ve AB’nin, güvenlik sorunu nedeniyle dışladığı Microsoft Windows işletim sisteminin, öğretmenlere ve yargı mensuplarına yönelik kampanyalar kapsamındaki bilgisayarlarda kullanılmasını eleştirdi. Coşkunoğlu, konunun bir “ulusal güvenlik sorunu” olduğuna dikkat çekti. Osman Coşkunoğlu, yaklaşık 650 bin öğretmene dağıtılması planlanan dizüstü bilgisayarda, “neden TÜBİTAK’ın geliştirdiği bir işletim sistemi değil de Microsoft’un işletim sistemi kullanılacağını” hazırladığı 6 soru önergesiyle Meclis gündemine getirdi. Coşkunoğlu, Başbakan Recep Tayyip Erdoğan, Milli Eğitim Bakanı Hüseyin Çelik, Ulaştırma Bakanı Binali Yıldırım ve Adalet Bakanı Cemil Çiçek’in yanıtlaması istemiyle verdiği önergelerde, Microsoft sisteminin tercih nedenini sordu. “NEDEN DİZÜSTÜ BİLGİSAYAR” Coşkunoğlu, dizüstü bilgisayarlara göre hem fiyatı hem de bakımı ve güncellenmesi çok daha ekonomik olan masaüstü bilgisayar seçeneğinin öğretmenlere neden sunulmadığı sorusunu yöneletti. Yaklaşık 650 bin bilgisayar alınacağı bilgisinin doğruluğunu da soran Coşkunoğlu, alınacak her bilgisayar için ABD’li Microsoft firmasına 2.5 dolar verilip verilmeyeceği sorusunun da yanıtlanmasını istedi. “NEDEN TÜBİTAK DEĞİL DE MICROSOFT” Bu tutarın toplamda 1.5 milyon dolara denk geldiğine dikkat çeken Coşkunoğlu, Microsoft Windows dışındaki seçeneklerin ve bu kapsamda TÜBİTAK tarafından geliştirilmiş olan bir işletim sisteminin neden tercih edilmediğini sordu. “MİCROSOFT’LA ANLAŞMA YAPILDI MI” Coşkunoğlu, Microsoft Başkanı Bill Gates’in ocak ayı sonundaki Türkiye ziyaretinde, gerek Gates ile gerek Microsoft yetkilileriyle hükümet ve Türk Telekom AŞ adına sözlü veya yazılı bir anlaşma yapılıp yapılmadığı sorusunu da yöneltti. “ABD VE AB TERK ETTİ, BU ULUSAL GÜVENLİK KONUSU” Coşkunoğlu, bilişim alanında atılacak adımların gizli anlaşmalar yoluyla değil, ulusal bir strateji çerçevesinde yapılması gerektiğine dikkat çekti. Öğretmenlere ve yargı mensuplarına bilgisayar dağıtılması gibi projelerin, ulusal teknolojinin gelişmesi için çok önemli fırsatlar olduğuna işaret eden Coşkunoğlu, konunun aynı zamanda bir ulusal güvenlik sorunu da olduğunu vurguladı. Coşkunoğlu, ABD ve AB’nin, ulusal güvenlik kaygıları nedeniyle Microsoft Windows işletim sistemini dışladığını vurgulayarak, Windows’un yoğun bir biçimde pazar arayışlarına yöneldiğini, bu çerçevede Türkiye’de de görüşmeler gerçekleştirildiğini ifade etti. ANKA Almanya Savunma Bakanlığı, geçen sene (Windows işletim sisteminde 3. kişilerin sisteme sızmasını sağladığını düşündüğü arka kapılar tespit edildiğinden) tüm bilgisayarlarını %100 Alman yapımı olan Linux tabanlı başka bir işletim sistemine geçirme kararı almıştı. Windows işletim sistemini kullanmanın, hem maddi sorunlar hem de ulusal güvenlik sorunlarına yol açabileceğini düşünen daha birçok şehir/ülke, bilgisayarlarını kendilerini geliştirdiği Linux tabanlı işletim sistemlerine geçirdiler.

Sizde aynı fikirdeyseniz bu uygulamaya karşı çıkın ve “Kendi geliştirdiğimiz, maddi külfeti olmayan, %100 güvenli işletim sistemi” kullanılması için siz de oy kullanın…

Stratejik Ekonomik Araştırmalar Merkezi (SESAR) tarafından yayınlanan bir analizde Microsoft’un patronu Bill Gates’in Ankaraya gelip Başbakan Erdoğan’la yaptığı görüşmenin sonuçları değerlendirilmiş. Bu değerlendirme ile ilgili habere Ceviz.Net forumunda ulaştım. Haber kısaca şöyle:

Bill Gates Neden Geldi? Stratejik Ekonomik Araştırmalar Merkezi (SESAR) tarafından yayınlanan bir analizde Microsoft’un patronu Bill Gates’in Ankaraya gelip Başbakan Erdoğan’la yaptığı görüşmenin sonuçları değerlendirildi. SESAR değerlendirmesinde, Microsoft’un ABD istediği zaman, bütün istihbarat bilgilerinin ABD makamlarına vermekle yükümlü olduğu kaydedilerek, bu durumun Türkiye açısından büyük riskler doğuracağı vurgulandı. ABD Adalet Bakanlığı ile Microsoft arasında geçen senelerde bir anlaşma yapıldı. Bu anlaşmanın J maddesinin 1. Bendi aynen şöyle :”Microsoft; devletin bir kurumu tarafından çekince konulması durumunda, herhangi bir yazılımı veya herhangi bir API’si ile ilgili hiç bir şeyi açıklamak zorunda değildir” Microsoft’un nihai tahlilde ABD Devleti’nin istediği şekilde hareket edebileceğini ve ürünlerindeki kod bünyesindeki bazı arka kapıları ortaya çıkarabilecek davranışlarda bulunamayacağını belirleyen bu maddeyi hafızanızda bir yere not alıp; yazıyı okumaya devam edin lütfen. BATMAN BARAJI KİLİTLENMİŞTİ Geçenlerde küçük bir haber yeraldı gazetelerde. Habere göre; Batman Barajı şifrelenerek kilitlenmişti. Alman Noel Şirketi 1 milyon dolar alacağını tahsil edemediği gerekçesi ile santralın üç ünitesinde enerji üretiminde kullanılan bilgisayarları kilitleyince; DSİ yetkilileri bu nedenle Batman’ın bazı ilçeleri ile Şırnak ve Cizre’ye kesintili olarak elektrik verebildiklerini açıklıyorlardı. Bu haberin gazetelerde yeraldığı sıralarda AKP’li Murat Mercan; Seattle’de Microsoft’un davetlisi olarak bir toplantıya katıldı. Mercan; bu toplantı sonrasında yaptığı açıklamada; AKP olarak e-devlet konusunda Microsoft ile kapsamlı bir çalışma yapacaklarını belirtti. Bütün bunlar İtalya’ya satılacağı açıklanan Aycell’in öğretmenlerden, polislere bedava ceptelefonu dağıtacağının açıklandığı bir ortamda gerçekleşti. Mercan’ın; ABD derin devletinin ünlü entellektüel uçlarından CSIS bünyesinde yaptığı konuşmanın içeriği bir yana; yukarıdaki iki habere yanyana koyduğunuzda; Türkiye’deki “e-devletleşme” sürecinin sadece “içerik/vatandaşa hizmet” ve “teknoloji” boyutu ile ele alındığını fakat kimselerin; “Türkiye’nin kritik bilgi altyapıları nelerdir ve bunlar nasıl korunur?” sorusu ile meşgul olmadığını göreceksiniz. Geçtiğimiz son bir kaç sene içerisinde Batman Barajı’nın şifrelenerek kilitlenmesinden çok daha hazin durumlarla karşı karşıya kalmıştır kamu sektörü. Özellikle son Irak savaşı öncesinde ve sırasında hassas kurumlar bünyesinde; teknolojik altyapının yabancı menşeeli olmasından dolayı ciddi sorunlar yaşandığı bilinmektedir. (ABD’nin büyük operasyonlara start verdiğini haber verme yöntemlerinden birinin teknik sistemleri bir kaç dakikalığına köreltmek olduğunu bazıları ilk Körfez Savaşı’ndan beri biliyor) E-DEVLET MİCROSOFT’LA OLMAZ Bütün bu tablo ortadayken; Türkiye’nin e-devlet konusunda Microsoft gibi “sakıncalı” (bkz. yukarıdaki madde ve Microsoft’u son bir kaç senedir Alman hükümetinden; Malezya hükümetine kadar bir çok devletle karşı karşıya getiren durumlar) bir kurumla işbirliğine gidiyor olması; ülkenin geleceği açısından “türban sorunundan” çok daha ciddi siren sesleri çaldırması gereken bir konudur. Mevcut durumda; polisinden genelkurmayına, hükümetinden şirketine Türkiye’de bir çok kurum ve kişi; “bilgi altyapısının mahremiyeti ve gizliliği” konusunda ciddi düşünsel eksikliklere sahiptir. Türkiye’de çok ciddi bilgi altyapıları üzerinde oturup; “Bizim içimize sızmalarına gerek yok; biz zaten onlara ikili güvenlik anlaşmaları aracılığı ile istedikleri bilgileri veriyoruz” diyebilen üst düzey güvenlik görevlileri mevcuttur. İşte bu zihniyettir ki; teknolojiyi ancak görsellik ve verimlilik boyutunda ele alıp; teknolojinin ideolojik; siyasi ve en önemlisi “jeopolitik” boyutunu ihmal eder. AKP hükümetinin; Microsoft’la e-devlet konusunda bir işbirliğine gitmeden önce; Türkiye’nin kritik bilgi-işlem altyapısının haritasını çıkarıp; bunlardan hangisinde yerli çözümler kullanılacağı ve bu haritanın dış gözlere karşı nasıl korunacağını tespit etmesi şarttır. Aksi takdirde; Türkiye sadece barajlarının değil, her türlü kritik bilgi ve üretim altyapısının kilitlendiği ortamlarla karşı karşıya kalacaktır.

Yorum sizin…