Perşembe’nin gelişi Çarşamba’dan belliydi. 90’lı yılların ortasından sonra web siteleri popülerliklerini arttırmaya başlamışken, yeni başlayanlar temel HTML ile lokanta ismi geleneğini takiben ‘Mahir’in Yeri’ başlıklı web siteleri oluştururken ilk ciddi ve yeni web güvenlik açıkları da ortaya çıkmaya başlamıştı.
Daha o zamanlar ‘hacker’lar web sayfalarının içeriklerini değiştirmeye ve hatta daha ileri gidip veritabanlarındaki belki o zamanlar bireyler için olmasa da kurumlar için hassas verileri çalmaya başlamışlardı. Nerdeyse 15 sene sonra güvenlik önlemleri adına çok da fazla ilerlediğimiz söylenemez. Daha fazla kullanım, daha yeni teknolojiler ve tabi ki daha fazla masum olmayan göz ile hala izinsiz içerik değiştirme ve bilgi hırsızlığı gibi saldırıları yaygın olarak görmekteyiz.
Bir açıdan, gelişmesinin henüz başlarındaki İnternet’in olgunlaşması için geçen çeyrek yüzyıl pek de uzun bir süre sayılmaz. Bu kadar hızlı gelişen ve değişen bir olgunun tek probleminin güvenlik olduğu da düşünülemez ama biz kullanıcıların ve kurumların mahremiyetini bu kadar fazla etkileyen başka bir problemin varlığından da söz edilmesi zordur.
Ne zaman bu kadar paylaşımcı olduk?
Önceleri, birden çok insan koca (evet gerçekten de koskoca) tek bir bilgisayarı kullanıyordu. Daha sonra, teknolojik gelişmelerle beraber bir insan bir bilgisayarı kullanmaya başladı. Ve şimdi de dünya üzerinde farklı yerlerdeki bir çok bilgisayar, kişilere özel hizmet verir hale geldiler. Bir şarkı sözünü Google’da aradığımızda sadece kendi bilgisayarımız değil, üzerinde yazılım çalışan bir çok bilgisayar bize hizmet veriyor. Ama sadece bize değil’ Laptop satın alırken kullandığımız kredi kartı bilgileri diğer tanımadığımız alıcıların bilgileri ile aynı veritabanında tutuluyor.
Bu görünmeyen paylaşım web 2.0 ile beraber farklı bir alana taşındı. Artık ne zaman, nerede, ne yaptığımızı, tanıdığımız ve hatta bazen tanımadığımız insanlarla paylaşır olduk. Bu paylaşımın sonucunda daha fazla insan ile kolayca iletişim kurmaya başlayıp iş alanları oluşturduk ve farklı bişeyler üretme potansiyelimizi arttırdık.
Peki güvenlik konusunda da bu kadar şanslı mıyız’ Her ne kadar geçmişten gelen tecrübeler tersinin olması gerektiğini söylese de, işte buna hazırlıksız yakalandık. Şu anda Internet ortamında yaşanan güvenlik zafiyetlerinin, olaylarının bir çoğunun kaynağı 10-15 sene öncesine dayanıyor. Özellikle son 5 senedir ‘güvenli web’ konusunda büyük gelişmeler yaşanmış olsa bile yeni çıkan ve popüler olan hizmetlerde aynı problemler tekrar ediyor.
Tehlike nerede?
Sosyal paylaşım sitelerine has güvenlik zafiyetleri ilk olarak 2005 yılında MySpace Worm ile beraber gün yüzüne çıktı. Bir sosyal paylaşım sistesi olan MySpace kullanıcısı Samy isminde biri, 20 saat gibi kısa sürede site üzerinden bir milyon arkadaş edindi. Bu arkadaşlıkların hiç birisinde karşı tarafın onayı yoktu, yani Samy ile zorla arkadaş olmak durumunda kaldılar. Tarihte hiçbir virüs/worm bu kadar hızlı yayılmamıştı. Bu durum karşısında MySpace yönetimi problemi düzeltmek üzere siteyi tamamen kapatma ihtiyacını duydular.
O tarihten sonra sosyal paylaşım sitelerinde aynı veya benzer yüzlerce güvenlik problemi bulundu ve bu siteler ve kullanıcıları onlarca saldırıya uğradılar. Sadece sitelerin arkasındaki kurumlar değil, bu siteleri kullanan kullanıcılar ve hatta bu kullanıcıların çalıştıkları kurumlar zarar gördüler.
Bilgi mahremiyetinin kaybolmasındaki tek sorun kullandığımız hizmetlerde değil tabi ki. Düşüncesizce paylaşılan bilgiler, hakkımızda veya çalıştığımız kurumlar hakkında bilgi toplamaya çalışan kötü niyetli kişiler için bulunmaz fırsatlar sunuyor.
Web 2.0; yazılan blog yazılarını ve yorumlarını kullanarak kişilik tahlili yapan otomatik yazılımlardan, yüklediğiniz profil resminizi analiz edip size benzeyen kişileri tespit eden uygulamalara kadar bir çok yeni ve yaratıcı yol sunarken kişisel bilgilerin gizlilik sınırlarını da ortadan kaldırıyor. Bir vadi klasiği, ‘iki kişinin bildiği sır değildir’ sözü gibi kullanıcıların da İnternet’te paylaştıkları bilgilerin artık gizli olmadığını bilmeleri gerekiyor.
Görev paylaşımı
Popülerliği gittikçe artan web 2.0 teknolojileri kullanılarak yazılan hizmetlerin eskiden kazanılan güvenlik tecrübelerini hafife almadan geliştirilmeleri gerekmektedir. Güvenli yazılım geliştirme sorumluluğunun geliştiricilerin mi yoksa kullanılan teknolojinin mi üzerinde olduğu sorusu tartışıla dursun, kurumların müşterilerinin mahremiyeti konusuna önem vermek adına yeterli kaynakları ayırmaları bir zorunluluk olmalıdır.
2002’de Bill Gates’in Microsoft çalışanlarına gönderdiği ‘trustworthy computing’ (güvenilir bilgi işleme) konulu e-postasında, sundukları hizmetlerde yeni özellikler kadar güvenliğin de ciddiye alınması gerekliliğine vurgu yapılmaktadır. Bu perspektife paralel olarak yeni teknolojileri müşterileri ile buluşturan şirketler de güvenlik konusunu ciddiye almalıdırlar.
Yazılım geliştiren herkesin yaşayarak tecrübe ettiği ve benimsediği en önemli sonuçlardan birisi geliştirme işleminin kaotik bir süreç olduğudur. Yazılım geliştirme zor bir iştir ve bu nedenle de hataya açıktır. Bu sonucun gözden kaçmaması gerekir ve kullanıcılar kendilerini özellikle de temel güvenlik konularında olabildiğince bilgilendirmek zorundadırlar.
Yazar : Bedirhan Urgun