GÜVENLİK ZAFİYETLERİ

Siber güvenlik zafiyeti nedir? Siber güvenlik zafiyetlerinin muhtemel etkileri nelerdir? Yaygın olarak görülen siber güvenlik zafiyetleri nelerdir?

Siber güvenlik zafiyeti; bir sistem veya uygulamayı siber saldırılara açık hale getiren hatalara denir. Bunlardan faydalanan bir saldırgan veya zararlı yazılım sisteme veya uygulamaya yetkisi olmadığı halde erişebilir, değişiklikler yapabilir veya gizli kalması gereken verilere ulaşabilir. Zafiyetler sadece sistem üzerinde değil, sistemin güvenlik kontrolleri ve işleyişi üzerinde de bulunabilir. Büyük çoğunluğu yazılımdaki hatalardan kaynaklanan güvenlik zafiyetleri, saldırganın sistem veya uygulamaya komut göndermesine veya hafızadaki verileri çalmasına imkan verebilir.

Siber güvenlik zafiyetlerinin etkileri nelerdir?

Herhangi bir yazılımda ortaya çıkan güvenlik açıklarının güvenlik seviyemizi nasıl etkilediğini anlamak için bunları birkaç açıdan ele almak gerekir;

  • Ne kadar yaygın olduğu
  • Ne kadar kolay tespit edilebilir olduğu
  • Ne kadar kolay istismar edilebildiği
  • Etkisi

Zafiyeti barındıran sistemin ne kadar yaygın olarak kullanıldığı, zafiyetin kuruluş siber güvenlik seviyesini ne derecede etkileyebileceğinin önemli göstergelerindendir.

Bazı Linux sistemler ve çokça Windows sistemden oluşan ortalama bir kurumsal ağı ele alalım. Windows sistemleri etkileyen bir zafiyetin, kuruluş ağında daha fazla hedefe sahip olması nedeniyle, az bulunan veya hiç olmayan bir sistemdeki zafiyete oranla daha tehlikeli olduğu ortadadır. Bu değerlendirmeyi yaparken sistemin önem derecesinin de gözden kaçırılmaması gerekir. Örneğin kuruluşun güvenlik duvarını etkileyen bir zafiyet, her ne kadar 1 tane güvenlik duvarı olsa da kuruluş için çok önemlidir.

Saldırganların veya bu zafiyeti istismar edecek bir zararlı yazılımın, zafiyetin varlığını ne kadar kolay tespit edebildiği konusu tehlike seviyesini etkileyecektir.

Saldırganın uygulama veritabanına doğrudan komut göndermesine imkan veren SQL injection açıkları ikiye ayrılır; hata mesajını gösterenler ve göstermeyenler. Veritabanına gönderilen sorguya müdahale eden saldırgan müdahalenin etkili olduğuna dair bir ipucunu görebiliyorsa, bu zafiyeti tespit etmesi ve istismar etmesi daha kolaydır.

Aşağıdaki örnekte komşu ülke yunanistan’da bulunan bir otel web sayfası görülebilir:

siber güvenlik zafiyeti nedir örnek resim 1

Adres çubuğunda bulunan “id” parametresindeki değerin sonunda ‘ işareti koymak veritabanına giden sorgunun kafasını karıştırmaktadır. Bu, aşağıdaki gibi sunucudan dönen “1. Satırın sonunda tırnakla ilgili bir yazım hatası var” anlamındaki hata mesajında da açıkça görülebilir.

Bu durumda saldırgan bu sayfanın zafiyetten etkilendiğini açıkça görebilmekte ve bu sayede istismar edebilmesi kolaylaşmaktadır. Bu hata mesajı görülmese zafiyet yine istismar edilebilir ancak bu kadar açık görülmediği için tespit edilmesi bir miktar zorlaşır.

zafiyet nedir örnek resim 2

Zafiyeti istismar etmek için saldırganın ihtiyaç duyacağı teknik beceri düzeyi zafiyetin kuruluş açısından ne kadar tehlikeli olabileceğini etkiler. Yukarıdaki zafiyet Sqlmap aracı ile kolayca istismar edilebilir ve site üzerindeki pek çok bilgi, sitenin yönetici kullanıcı adı ve parolası dahil, çekilebilmektedir.

zafiyet nedir örnek resim 3

Zafiyetin sistem üzerindeki etkisini değerlendirmek için bilgi güvenliğinin temel taşları olan gizlilik, bütünlük ve erişilebilirlik seviyelerini ne derece bozduğu değerlendirilir. Bu örnekte sitenin müşteri e-posta adresleri ve ev adreslerinin yanında site yönetici kullanıcı bilgileri çekilebildiği için etki kritik olarak değerlendirilmelidir.

Yaygın olarak görülen siber güvenlik zafiyeti türleri

NIST (National Institute of Standards and Technologies) zafiyetleri nedenlerine göre Common Weakness Enumeration Specification (CWE) (https://nvd.nist.gov/vuln/categories ) başlıkları altında sınıflandırır. Hassas verilerin şifrelenmeden saklanmasından, kullanıcı girişlerini etkileyenlere kadar geniş bir yelpazede takip edilen CWE’ler zafiyetlerin nedenine odaklanmaktadır. Zafiyetler 119 ana başlık altında incelenmektedir ve https://nvd.nist.gov/vuln/categories/cwe-layout linkinden incelenebilir.

Siber güvenlik yönetimi bakışıyla bir zafiyeti değerlendirmek ve sınıflandırmak söz konusu olduğunda ise zafiyetin etkilerinin nedenlerinden daha önemli olduğu düşünülür.

Yaygın olarak görülen siber güvenlik zafiyetlerinin etkileri:

Yaygın olarak görülen güvenlik zafiyetlerinin etkilerini 3 temel grupta ele alabiliriz:

  1. Komut çalıştırma (Remote Code Execution): Hedef sistem üzerinde komut çalıştırmaya imkân veren zafiyetler. Bunları istismar eden saldırganlar sistemin yönetimini ele geçirip daha önce saydığımız gizlilik, bütünlük ve erişilebilirliği kısmen veya tamamen etkileyebilir.
  2. Yetki yükseltme: Sisteme erişim sağlayan saldırganın daha etkili bir saldırı gerçekleştirip amacına ulaşması için çoğunlukla kullanıcı seviyesinin üstünde yetkilere ihtiyacı olur. Yetki yükseltme zafiyetleri saldırganın sistem üzerinde yetkili kullanıcı hale gelmesini sağlar. Böylece sıradan bir kullanıcının yapabileceğinden fazlasını yapabilir.
  3. Bilgi ifşası (memory leak): Önbellekte veya diskte tutulan bilgilerin saldırgan tarafından görüntülenebilmesini sağlayan zafiyetler.

“Komut çalıştırma” veya “Yetki yükseltme” gibi terimler özellikle güvenlik zafiyetlerinin etkilerini anlamak amacıyla bir saldırganın sistem üzerinde yapabileceklerine dair kullanılanılır.

Zafiyet Taraması Nedir?

Zafiyet taraması; mevcut ve çıkması muhtemel zafiyetlerin tespit edilmesidir.

Bir sonraki zafiyet taraması sonucunu veya yeni çıkan zafiyet haberini değerlendirirken yukarıda yer alan sınıflardan hangisine girdiğine, yaygınlığına, tespit etme kolaylığına ve istismar edilme kolaylığına bakmak önceliklendirme yapmayı kolaylaştıracaktır.

Zafiyet taraması ile ilgili daha detaylı bilgi için ZAFİYET TARAMASI, YÖNETİMİ, METODOLOJİSİ ve ARAÇLARI makalesi incelenebilir.
Başa dön