İnceleme
Kategoriler
Anakart
Cep Telefonu
Notebook
ADSL Modem
İşlemci
Tablet
Ekran Kartı
Televizyon
Fotoğraf Makinesi
Depolama
Klavye ve Mouse
Giyilebilir Teknoloji
Kulaklık
Ses Sistemi
Oyun İnceleme
Ev Elektroniği
Navigasyon
Son İncelenenler
Nillkin Desktop Stand, Nillkin MagRoad Lite, Nillkin Bolster Portable Stand inceleme
Mcdodo MC-1360 10.000 mAh LED Göstergeli Powerbank inceleme
Omix X6 inceleme
Anker Soundcore P40i inceleme
Razer Siren V3 Mini inceleme
Dyson OnTrac inceleme
Omix X7 inceleme
Haber
Kategoriler
Kripto Dünyası
Cep Telefonu
Windows
Sosyal Medya
Oyun ve Eğlence
Bilim
Dijital Fotoğraf
Notebook
Ekran Kartları
Güvenlik
Mobil Uygulamalar
Twitter
Instagram
Facebook
CES 2024
Scooter
Araçlar
Netflix
Gitex 2022
En Son Haberler
AGON by AOC, AGON PRO AG276FK monitörünü duyurdu
Warcraft I ve Warcraft II geri döndü: Remastered sürümleri yayınlandı
Intel Monsters Reloaded 2024 büyük finaline geri sayım başladı!
BYD yeni modeli SEALION 7'yi tanıttı: Türkiye'ye de gelecek
Škoda, Kasım 2024 kampanyasını duyurdu
İki ünlü isim İstanbul'da Anadol'u inceledi
iOS 18.2 yayın tarihi, hiç beklenmedik bir yerden sızdırıldı
Forum
CHIP Online
Chip Dergisi
PDF Arşivi
2009
Şubat
CHIP Dergisi Arşivi: Şubat 2009 - Sayfa 22
20
21
22
23
24
Kategoriler
İnceleme
Anakart
Cep Telefonu
Notebook
ADSL Modem
İşlemci
Tablet
Ekran Kartı
Televizyon
Fotoğraf Makinesi
Depolama
Klavye ve Mouse
Giyilebilir Teknoloji
Kulaklık
Ses Sistemi
Oyun İnceleme
Ev Elektroniği
Navigasyon
Haberler
Cep Telefonu
Oyun ve Eğlence
Bilim
Notebook
Ekran Kartları
Mobil Uygulamalar
Yapay zeka
Sony Xperia Z3
Xiaomi
Xbox One
Windows 11
Windows 10
TikTok
Sinema
Samsung Galaxy S8
Samsung Galaxy S6
Samsung Galaxy S5
Samsung
Playstation 5
Oyun konsolu
Otomobil
Ofis ve Finans
Note 4
MWC 2018
MWC 2017
MWC 2015
Microsoft
LG G6
LG G5
LG G4
LG G3
İşletim Sistemleri
İş dünyası
iPhone SE
iPhone 7
iPhone 6S
iPhone 6
iOS
Instagram
IFA 2017
HTC One M9
HTC 10
Google
Diziler
Discovery 2
CES 2018
CES 2017
CES 2015
Blockchain ve Bitcoin
Bilgisayarlar
Xbox Game Pass
Xbox Series S/X
Uzay
Android
Forum
© 2024 Doğan Burda Dergi Yayıncılık ve Pazarlama A.Ş.
3802/2009 www.chip.cOM.TR GÜNCEL?RÖPORTAJ? Uçtan uca güvenlik CHIP ÖZEL: Microsoft güvenlik takımının yöneticisi Irfan Chaudry ile çok özel bir röportaj... geliştirme döngüsünün ilk evrelerinde problemleri görmelerini sağlayacak şekilde ileriye dönük yardım vermeye başladık. Geliştiricilerin Cross-Site Script saldırılarını önlemek için kullanabilecekleri bir referans kütüphane hazırladık. Bu kütüphane, AntiXSS kütüphanesinden ve XSS Detect aracından (yazılım kodunu tarayarak Cross-Site Script saldırılarını tanımlamayan ücretsiz bir araç) oluşmakta. Önlenen saldırı ve exploit'lerin sayısı konusunda ise, işkoluna yönelik yazılım güvenliği incelemesine başlandığından bu yana, işkolu uygulamalarımızda kayda değer bir güvenlik sorunu ortaya çıkmadı. Bu başarıyı, yazılım geliştirme döngüsüne güvenlik işlemlerini de dahil etmiş olmamıza borçluyuz. Olabilecek saldırı türleri CHIP: Okuyucularımıza, günümüzde karşılaşabilecekleri saldırı türleri ve Web sitelerine yönelik tehditler hakkında kısa bir bilgi verebilir misiniz? Irfan Chaudry: Web sitelerinin kredi kartı ve/veya kimlik bilgileri gibi kişiye özel, gizli bilgileri saklamak, işlemek veya yönetmek için kullanılması artık normal kabul ediliyor. Bu nedenle, Web siteleri için en büyük tehdidi, bu bilgilere ulaşmaya veya onları çalmaya, bozmaya yönelik saldırılar oluşturuyor. Verilerinizi bu saldırılara karşı korumak için belirli ölçülerde güvenlik önlemleri almak artık bir zorunluluk hali almış durumda. Güvenilir programlama teknikleri ile korunması gereken bu sitelere saldırılar birkaç farklı şekilde yapılıyor. Bunlardan bazıları, siteler arası komutlar (cross site scripting XSS), SQL injection, uygun olmayan giriş işlemleri ve siteler arası sahte istek komutları şeklinde gerçekleşmekte. Saldırı türleriyle ilgili daha fazla bilgi www.msdn. com/security veya www.helloseGeçtiğimiz günlerde Türkiye'ye gelen Microsoft'un güvenlik profesyonelleri ile çok özel bir öğle yemeğinde buluştuk. Fırsattan istifade takımın babalarından Microsoft'un "ace" güvenlik takımının yöneticisi Irfan Chaudry ile çok özel bir röportaj gerçekleştirmeyi ve en önemli sorulara cevap aramayı da ihmal etmedik! CHIP: ACE'in açılımı nedir? Bu organizasyonun kuruluşu, amacı ve çalışan sayısı nedir? Irfan Chaudry: ACE takımı, Microsoft Bilgi Teknolojileri (IT) departmanında Bilgi Güvenliği bölümünün bir parçasıdır. İsmini "Assessment Consulting & Engineering"in (Değerlendirme, Danışmanlık ve Mühendislik) baş harflerinden almıştır. Başlangıçta Microsoft'un iş dünyası uygulamaları hakkında değerlendirmelerde bulunmak üzere 1999 yılında kurulan ACE, 2001'de bu uygulamaların güvenliği ve gizliliğine dayalı incelemelerden de sorumlu hale getirildi. Şu anda ACE bünyesinde 70'ten fazla kişi, dünya çapında uygulama güvenliği, yapısal güvenlik, performans değerlendirme ve gizlilik hizmetleri üzerinde çalışmaktadır. Hizmetlerden MSIT, MS.COM ve MSN'in yanında Microsoft'un kurumsal müşterileri de yararlanmaktadır (ACE, harici hizmetler konusunda Microsoft Services ile işbirliği yapmaktadır). CHIP: ACE takımı kurulduktan sonra (tehlikeli açıkların, önlenen saldırıların ve exploit'lerin sayısında) ne gibi değişiklikler oldu? Irfan Chaudry: Yazılım güvenliği incelemesi işine başlandığından beri, kod geliştirmeyle ilgili, çoğunlukla giriş doğrulamalarının eksikliğinden kaynaklanan problemleri daha kolay görmeye başladık. Bu problemler genelde iki ana açığın, Cross-Site Script (siteler arası komutlar) ve SQL Injection'ın etrafında toplanmışlardı. Bunun sonucunda geliştiricilere, yazılım cureworld.com sitelerinde bulunabilir. Hellosecureworld sitesi, geçtiğimiz yıl Microsoft tarafından, geliştiricileri bu saldırıların kullandıkları açıklar konusunda bilgilendirmek, daha da önemlisi bu saldırılardan korunmak için gerekli adımları göstermek için kuruldu. CHIP: Web sitesi kurmak isteyen KOBİ'lere (Küçük ve Orta Bütçeli İşletme) yönelik tavsiyelerinizi ve çalışmaya başlamadan önce dikkat etmeleri gereken noktaları sıralar mısınız? Irfan Chaudry: Web'de yer almayı planlayan KOBİ'ler, bu 3 önemli noktaya dikkat etmelidir: A. Web sitesine yönelik tehditleri modellemek. Bu adım, site için herhangi bir kod yazmadan önce, siteye yönelik tehditleri ve sitenin açıklarını belirlemeye yardımcı olacaktır. Daha tasarım aşamasındayken bu açıkları belirlemek, zamandan, paradan ve kaynaklardan tasarruf sağlayacaktır. ACE Takımı, "Threat Analysis & Modeling" (Tehdit Analiz ve Modelleme) aracını, Microsoft'un işkolundaki uygulamalar için geliştirdi. B. İkinci tavsiyemiz, Web sitesinin geliştiricilerinin uygulama güvenliği konusunda bir eğitimden geçirilmesi olacaktır. Bu konuda bir on-line alıştırma örneği www. hellosecureworld.com portalında mevcut. Yapılan yatırımın meyvelerini toplayabilmek için, bu eğitim, mutlaka site geliştirilmeye başlanmadan önce gerçekleştirilmelidir. C. Üçüncü adım ise, XSS Detect ve Anti-XSS gibi tanımlama araçlarını yazılım geliştirme döngüsüne (Software Development Lifecycle - SDLC) dahil etmek. Bu tür araçlar, güvenlik açıklarını (kodlama aşamasında) bulmayı kolaylaştırmanın yanında, güvenlik kontrollerinin sisteme dahil edilmesini de sağlamaktadır. Bu sayede geliştirme işlemi bir bütün olarak daha kolay hale gelmektedir. Doğru güvenlik planına giden yol CHIP: Günümüzde neredeyse her ofis bir şekilde internete bağlı. BT departmanları, şirket içerisinde fikri mülkiyetleri ve gizli şirket verilerini korumak için nasıl bir güvenlik planı oluşturmalı? Irfan Chaudry: Riskleri öngören bir yapı oluşturmak ve verileri gizliliğine göre sınıflandırmak bu Verileri gizliliğine göre sınıflandırmak çok önemli Irfan Chaudhry, Microsoft ACE Takımı Direktörü, Talhah Mir, Microsoft ACE Takımı Kıdemli Program Yöneticisi konuda çok büyük öneme sahip. Bu gerçekleştirildiğinde, şirket için en önemli verilerin hangileri olduğunu anlamak ve buna göre sistemi yapılandırmak mümkün oluyor. Şirketlerin bu iş için kaynakları oldukça kısıtlı olduğu için, en önemli riskleri bilmek, kısıtlı kaynaklardan maksimum verimi almamızı sağlıyor. Güvenlikten sorumlu birim, hangi uygulamanın ticari önemi yüksek veriler içerdiğini bildiğinde, verilerin ve uygulamanın tamamını gözden geçirmeyi tercih edebilir. Söz konusu uygulamanın içerdiği verilerin ticari önemi düşük ise, güvenlik birimi yalnızca veriyi saklayan sunucular üzerinde tarama yapmayı seçer. Son olarak şunu belirtmek isterim ki, SDLC'nin (Software Development Lifecycle – Yazılım Geliştirme Döngüsü) içine güvenlikle ilgili bazı adımlar eklemek artık bir zorunluluk halini almıştır ve bu adımlar kurumsal idare tarafından devreye alınmalıdır.
