E-ticaret sistemlerinde yeni güvenlik anlayışı: Dikkat edilmesi gerekenler

Son zamanlarda sık sık duyduğumuz, e-ticaret sitelerinin hack’lenmesi ve kullanıcı bilgilerinin çalınması, giderek daha çok rahatsız edici hale geliyor. Alışveriş alışkanlıklarımızdan başlayarak kişisel hassas verilerimize kadar pek çok bilgi, e-ticaret sitelerinin veritabanlarında tutuluyor ve hack’lenmeyecek bir sisteme sahip olmak, pek çok satıcının (ve aynı zamanda da bu sistemleri kullanacak olan müşterilerin) hayali.

E-ticaret web sitelerine yapılan saldırıların çoğu, aslında bu sitelerin büyük kısmı aynı geliştirme ortamında hazırlandığından ve ortak bir framework kullandığından dolayı, bu geliştirme ortamlarında tespit edilen açıklardan faydalanan kötü niyetli yazılımcıların, açığın keşfedilmesi ve bir yama ile kapanması arasında geçen sürede, hızlı hareket ederek sitelere saldırmasından kaynaklanıyor. Bu mekanizma, uzun süredir devam eden bir yöntem, ve hacker’lar genelde açık bulma konusunda sistem güvenlik uzmanlarının hep bir adım ötesinde gidiyorlar. Bu nedenle de, aradaki zamanı en iyi şekilde değerlendirmek için büyük gayret sarf ediyorlar.

Örneğin, çok bilinen, çok popüler olarak kullanılan ve aslında herkesin hızlı bir şekilde, yetenekli ve üst düzey özelliklere sahip bir e-ticaret sitesi kurmasına imkân veren Wordpress’in tüm sürümleri, sürekli açık arayan kötü niyetli yazılımcıların merceği altında. Genel saldırı yöntemlerinin en başında, sitenin içeriğini tutan veri tabanı sistemine yapılan saldırılar geliyor.

Bu tür saldırılardan korunmak için ilk önerim, öncelikle Web sitesine WAF, IDS ve IPS eklemek veya CloudFlare gibi dünyaca ünlü güvenlik şirketleri ile uygun maliyetler ödeyerek koruma altına almak olacak. ne yazık ki bu konuda ücretsiz bir çözüm yok, var diyenlere de güvenmeyin.

Sitenizin sürekli olarak ayakta kalması gerekli. Bu nedenle de, www.robotalp.com gibi bir servis ile, sitenizin sürekli olarak izlenerek Dünya’nın her yerinden, her an ulaşılabilir olduğundan emin olmanızı öneriyorum. Eğer bir kesinti varsa, bu sistemler sizi anında uyarıyor ve böylece kesintinin teknik bir nedenle mi olduğunu, veya bir saldırıya mı uğramakta olduğunuzu belirleyebiliyorsunuz.

Birazdan söyleyeceğimi aslında herkes biliyor, ancak birçok kullanıcının yapmadığını bildiğimden dolayı burada tekrar etmeden geçmek istemiyorum. Sisteminizi sürekli yedekleyin, yedekleri farklı yerlerde tutun, yedeğin de yedeğini alın ve yedekleri ayda bir, haftada bir gibi uzun periyotlarda değil günlük, hatta gün içinde iki defa alın. En kötü senaryo gerçekleşir ve sitenizi kaybederseniz, en azından birkaç saatlik veri kaybetmiş olarak tekrar başka bir sistem veya altyapıda ayağa kaldırmanız mümkün olacaktır.  

Saldırıların büyük kısmının hedefinin veri tabanları olduğunu söylemiştim. Arka planında bir veri tabanı olmayan bir e-ticaret sitesi, bu tür saldırılardan kendini doğal olarak en iyi şekilde koruyacak olan web sitesi olacaktır. Örneğin, Avrupa’nın en büyük e-ticaret devlerinden DePauli AG için geliştirmiş olduğum ve arka planında bir veri tabanı olmayan bir sistem, bunu başarmış ve hack’lenmeyen alışveriş sitesi olarak Almanya ve birçok Avrupa ülkesinde ödüle layık görülmüştü. 

Böyle bir site oluşturabilmek için QS Search olarak adlandırdığım bir arama motoru hazırlamış ve e-ticaret sitesinin ürün aramadan stok kontrolüne, arama filtrelemeden servis sayfalarına kadar her şeyin kullanıcıların önüne bu arama motoru ile getirilmesini sağlamıştık. Böylece, bu sistemi kullanan siteler saldırıya uğrasa bile, saldırganlar sadece ön yüzde bir şeyler yapabiliyor, ancak daha derine inemiyorlardı. Zira verilerin tutulduğu ve aslında hedeflerinde olması gereken veri tabanı onlara (ve aslında herkese) görünmez oluyordu. Sistemin sağlığı, bir saldırı olursa tespiti, aşırı yüklenme varsa bunun tespit edilmesi gibi tüm noktalar yapay zekâ ile gözlemleniyor. 

Sonuç olarak, bir e-ticaret sitesi hazırlarken, bu anahtar noktalara dikkat etmenin gerekli olduğunu belirtmek istiyorum. Mümkünse sitenizin içeriği ile veri tabanını birbirinden ayırın, ücretsiz seçeneklere prim vermeyin, sitenizin otomatik sistemlerle ve yapay zekâ ile sürekli gözetim altında olmasını sağlayın. Küçük ya da büyük fark etmez, bir uyarı geldiğinde, bir alarm çaldığında mutlaka derinlemesine araştırma yapıp tekrar etmemesini sağlayın. Eğer aynı alarm tekrar ediyorsa, o noktaya bir saldırı gerçekleşiyor olması, en azından “deneniyor” olması kuvvetle muhtemeldir. O noktayı güçlendirmek, belki de orada kullanılan teknolojiyi güncellemek veya değiştirmek, en iyi yöntem olacaktır.

Kemal Akça / Güvenlik Uzmanı - Yazılım Mimarisi Şefi

Kemal Akça Kimdir?

Çocukluğundan beri bilgisayar yazılımları üzerine çalışan ve Türkiye’de birçok birincilik ödülü almış olan Akça, Almanya başta olmak üzere Avrupa’da pek çok ülkede çalışmalarını devam ettirdi. 2013 itibari ile Almanya E-Ticaret devi DePauli AG ile çalışmaya başladıktan sonra DePauli AG Kurucusu Renata DePauli ile beraber Türkiye İzmir Serbest Bölgesi’nde DePauli Systems Teknoloji üssünün kurulmasını sağladı. Kurulan teknoloji üssünde hedeflenen başarılara imza atıldıktan sonra, teknik geliştirmeyi burada kurmuş olduğu ekibe bırakıp, global ölçekte daha büyük projelere imza atmak amacıyla Almanya ve Türkiye merkezli Birinci Fragman şirketini kuruyor. Firmanın yapay zekâ, güvenlik, metaverse ve diğer alanlardaki yeni projeleri pek yakında kullanıcılarla buluşacak.