İnceleme
Kategoriler
Cep Telefonu
Notebook
Anakart
ADSL Modem
İşlemci
Tablet
Ekran Kartı
Televizyon
Fotoğraf Makinesi
Depolama
Klavye ve Mouse
Giyilebilir Teknoloji
Kulaklık
Ses Sistemi
Oyun İnceleme
Ev Elektroniği
Navigasyon
Son İncelenenler
Anker Soundcore P20i inceleme
Pusat Reflex Pro ve Pusat Reflex Ultra Kablosuz Oyuncu Mouse inceleme
AOC U27B3CF inceleme
Aqara Camera Hub G2H inceleme
PlayStation VR 2 inceleme
vivo V40 & v40 lite inceleme
Huawei WiFi 7 BE3 inceleme
Haber
Kategoriler
Kripto Dünyası
Cep Telefonu
Windows
Sosyal Medya
Oyun ve Eğlence
Bilim
Dijital Fotoğraf
Notebook
Ekran Kartları
Güvenlik
Mobil Uygulamalar
Twitter
Instagram
Facebook
CES 2024
Scooter
Araçlar
Netflix
Gitex 2022
En Son Haberler
Squid Game 2. sezon için yeni fragman yayınlandı
Google, Avrupa ülkelerinde yeni arama sonuçlarını test ediyor
Mercedes, şarj sorununu "güneş boyasıyla" çözecek
2024'ün en önemli kelimesi hangisi? Belli oldu...
Uyumadan en fazla dayanan insan rekoru kime ait?
Sadece tek bir ayda 35 milyon yeni kullanıcı
Audi, Q5 Sportback'i tanıttı: Fiyatı ve özellikleri
Forum
CHIP Online
Chip Dergisi
PDF Arşivi
2014
Temmuz
CHIP Dergisi Arşivi: Temmuz 2014 - Sayfa 36
34
35
36
37
38
Kategoriler
İnceleme
Cep Telefonu
Notebook
Anakart
ADSL Modem
İşlemci
Tablet
Ekran Kartı
Televizyon
Fotoğraf Makinesi
Depolama
Klavye ve Mouse
Giyilebilir Teknoloji
Kulaklık
Ses Sistemi
Oyun İnceleme
Ev Elektroniği
Navigasyon
Haberler
Cep Telefonu
Oyun ve Eğlence
Bilim
Notebook
Ekran Kartları
Mobil Uygulamalar
Yapay zeka
Sony Xperia Z3
Xiaomi
Xbox One
Windows 11
Windows 10
TikTok
Sinema
Samsung Galaxy S8
Samsung Galaxy S6
Samsung Galaxy S5
Samsung
Playstation 5
Oyun konsolu
Otomobil
Ofis ve Finans
Note 4
MWC 2018
MWC 2017
MWC 2015
Microsoft
LG G6
LG G5
LG G4
LG G3
İşletim Sistemleri
İş dünyası
iPhone SE
iPhone 7
iPhone 6S
iPhone 6
iOS
Instagram
IFA 2017
HTC One M9
HTC 10
Google
Diziler
Discovery 2
CES 2018
CES 2017
CES 2015
Blockchain ve Bitcoin
Bilgisayarlar
Xbox Game Pass
Xbox Series S/X
Uzay
Android
Forum
© 2024 Doğan Burda Dergi Yayıncılık ve Pazarlama A.Ş.
mak. Kullanıcının güvenliği kimsenin umurunda değil; olsa bile en sonda. Kullanıcı pahasına yapılan bu alışverişlerin çoğalıp yaygınlaşmasının tek nedeni ise yazılım geliştiricilerin programcılığı ellerine yüzlerine bulaştırması. Microsoft'un eski çalışanı Steve McConnell çok satan "Code Complete" (Kod Tamamlandı) adlı kitabında programların her 1.000 satır kodunda 15 ila 50 hata bulunduğunu yazıyor. Windows 7 yaklaşık 40 milyon satır koddan oluşuyor, o yüzden kaç hata içerdiğini varın siz hesaplayın. Çoğu hata asla keşfedilmediği için kimseye zarar vermiyor. Bazıları küçük program hatalarına ve çökmelere yol açıyor. Ama bu hatalar arasında bazıları var ki büyük güvenlik riski teşkil ediyorlar. Bu açıklar saldırganın aygıt üzerinde doğrudan (yerel) ya da internet bağlantısı üzerinden (uzaktan) kullanmasına göre ikiye ayrılıyor. Fakat başka saldırı yöntemleri de var. Bunlardan biri saldırganların hedef sistemde kendi programlarını çalıştırmasına izin veren Kod İşletme. Aynısı internet üzerinden Uzaktan Kod İşletme adıyla yapılabiliyor. Bu zararlı kod ve siber savaş saldırılarının yaygın kullanılan bir yöntemi. Kod samanlığında iğne aramak Yazılım hataları üzerinden para kazanmadan önce, bunları program kodunda bulmak gerekiyor elbette. Bu amaçla herkese açık yarışmalar düzenleniyor. Söz gelimi geçtiğimiz Kasım ayında Tokyo'daki PacSec Uygulamalı Güvenlik Konferansı'nda yapılan Pwn2Own adlı bilgisayar hack'leme yarışması. HP'nin sponsor olduğu yarışmada katılımcılar iOS7'de, Chrome'un Android sürümünde ve Windows 8.1 için IE 11'de hata aradılar. Buldukları hataları da bir iPhone'daki fotoğrafları görmek, bir Nexus 4'ü, Samsung Galaxy S4'ü ve bir Microsoft Surface RT'yi kontrol etmek için kullanabildiler. BT güvenlik şirketi Revuln'dan Donato Ferrante ise hacker etkinliği ShmooCon 2013'te hacker'ların kullandığı yöntemleri açıkladı. Bunlardan ilki "Fuzzing" adını taşıyor. Bu bir yazılım test yöntemi. Bir araç, yazılıma ya da web uygulamasına mümkün olan her türden veri giriyor ve böylece bu verilere ne tepki verdiklerini ölçüyor. Söz gelimi, URL çubuğuna URL değil de JavaScript kodu girilince bir tarayıcı ne yapıyor? Ferrante'nin Fuzzing konusundaki yorumu şöyle: kolay ama bu teknikle bulunan açıklar hemen kapatılabildiği için çok kârlı değil. İkinci yöntem ise Kod Gözden Geçirme. Bu, bilinen program kodunun sistematik incelenmesi anlamına geliyor. Örneğin Açık Kaynak Kodlu yazılımlar ya da sızdırılmış kaynak kodlar taranabiliyor. Ferrante bu yöntemin orta güçlükte olduğunu ancak açık bulmak isteyenler için iyi bir yatırım olduğunu söylüyor. Üçüncü yöntem ise kodu bilinmeyen yazılımlara uygulanabilecek olan Tersine Mühendislik. Bu yöntemde yazılımın geliştirme adımları geriye takip edilerek zaaflar bulunuyor. Ferrante'ye göre bu yöntem çok pahalı ve zor ama bulunan açıklar genelde uzunca süre yamasız kalıyor. Hacker'lar güvenlik yamaları için genelde bu yöntemi kullanıyor. "Böylece hangi hataların kapatıldığını bulmaya çalışıyorlar ki yamayı henüz kurmayanlara saldırabilsinler," diyor F-Secure'un güvenlik araştırmacısı Sean Sullivan. Bu yöntemleri yeni açık bulmak için kullananların yığınla para kazanmalarına ramak kalmış diyebiliriz, ama asıl soru şu: Açığı kime satacaklar? Yazılım hatalarını bulana ödül Yazılım açığının en bariz potansiyel müşterisi, yazılımın üreticisi tabii ki. Kimi üreticiler adına Hata Ödülü (Bug Bounty) denen bir ödülle hacker'ları ayartmaya çalışıyor. Böylesi projelerin parçası olarak firmalar tek bir güvenlik açığına 1.000 ila 20.000 dolar ödüyor. "Böylesi ödüller araştırmacıları bulgularını karaborsaya değil de doğrudan yazılımın üreticisine satmaya teşvik ediyor," diyor Kaspersky'nin virüs analizcisi Christian Funk. "Ödüller, başka yerlerden alabileceklerinden daha düşük değil," diye de ekliyor. Haziran 2013'te Microsoft da kumbarayı kırmış olacak ki Windows 8.1'deki yeni güvenlik açıkları için 100.000 dolara kadar para ödüyor. Google ile Facebook ise bu yöntemleri çok daha uzun süredir kullanıyor. Google 2010'dan bu yana 2.000 güvenlik açığını bu şekilde öğrendi ve 2 milyon dolardan fazla para harcadı. Facebook ise sırf son iki yılda bir milyon ABD dolarından fazlasını 300 küsur güvenlik araştırmacısına dağıttı. Hatta bu araştırmacılardan ikisi Facebook'un güvenlik ekibinde çalışıyordu. Mozilla'da Firefox'un mühendislik başkan yardımcısı Johnathan Nightingale, "Hata Ödülü programları güvenlik çabamızın vazgeçilmez bir parçası," diyor. Nedeni, bulunanlara para ödemeleri değil, araştırmacıların bir yazılımı parçalarına ayırdıkları için yasal sorunlarla karşı karşıya kalmamasını sağlamak. Fakat Nightingale serbest piyasada zengin rakiplere karşı mücadele ettiklerinin farkında ve "Hata Ödülü'nün her derde deva olmadığını" biliyor. Java tarayıcı eklentisinin çok fazla güvenlik açığı var ama Java Control Panel'den devre dışı bırakmanız mümkün EK BİLGİ Yazılım hatası ararken Hacker'lar popüler programlarda (ki bunlardan çok var) hata arıyor ve bunları güvenlik açığı borsasında satıp iyi para kazanıyor. Exploit, sıfırıncı gün vb. ne demek? R Güvenlik açığı: Bir yazılımda ya da web uygulamasında zararlı kod saldırısına izin veren programlama hataları R Sıfırıncı gün: Saldırıya uğramış ancak henüz bir güvenlik yamasıyla kapatılmamış, açık haldeki güvenlik zaafı R Exploit: Güvenlik açıklarını PC'ye başka zararlılar kurmak için kullanan zararlı kod R Yama: Tespit edilen hatayı gideren, otomatikman ya da elle kurulabilen yazılım güncellemesi En çok hata barındıran yazılımlar Geçtiğimiz yıl itibariyle (29.11.2013) en çok güvenlik açığı bu yazılımlarda ve işletim sistemlerinde tespit edildi: Programlar Oracle Java180 Google Chrome168 Mozilla Firefox136 Microsoft Internet Explorer120 Mozilla Thunderbird106 Kaynak: CVE Details/MITRE, Verileri 2013 İşletim sistemleri Linux Kernel177 Windows Server 200898 Windows 795 Windows Vista92 Apple IOS90 › 3607/2014 TREND Güvenlik açıkları
