GÜVENLİK ZAFİYETLERİ

Siber güvenlik zafiyeti nedir? Siber güvenlik zafiyetlerinin muhtemel etkileri nelerdir? Yaygın olarak görülen siber güvenlik zafiyetleri nelerdir?

Siber güvenlik zafiyeti; bir sistem veya uygulamayı siber saldırılara açık hale getiren hatalara denir. Bunlardan faydalanan bir saldırgan veya zararlı yazılım sisteme veya uygulamaya yetkisi olmadığı halde erişebilir, değişiklikler yapabilir veya gizli kalması gereken verilere ulaşabilir. Zafiyetler sadece sistem üzerinde değil, sistemin güvenlik kontrolleri ve işleyişi üzerinde de bulunabilir. Büyük çoğunluğu yazılımdaki hatalardan kaynaklanan güvenlik zafiyetleri, saldırganın sistem veya uygulamaya komut göndermesine veya hafızadaki verileri çalmasına imkan verebilir.

Siber güvenlik zafiyetlerinin etkileri nelerdir?

Herhangi bir yazılımda ortaya çıkan güvenlik açıklarının güvenlik
seviyemizi nasıl etkilediğini anlamak için bunları birkaç açıdan ele
almak gerekir;

  • Ne kadar yaygın olduğu

  • Ne kadar kolay tespit edilebilir olduğu

  • Ne kadar kolay istismar edilebildiği

  • Etkisi

Zafiyeti barındıran sistemin ne kadar yaygın olarak kullanıldığı,
zafiyetin kuruluş siber güvenlik seviyesini ne derecede
etkileyebileceğinin önemli göstergelerindendir.

Bazı Linux sistemler ve çokça Windows sistemden oluşan ortalama bir
kurumsal ağı ele alalım. Windows sistemleri etkileyen bir zafiyetin,
kuruluş ağında daha fazla hedefe sahip olması nedeniyle, az bulunan veya
hiç olmayan bir sistemdeki zafiyete oranla daha tehlikeli olduğu
ortadadır. Bu değerlendirmeyi yaparken sistemin önem derecesinin de
gözden kaçırılmaması gerekir. Örneğin kuruluşun güvenlik duvarını
etkileyen bir zafiyet, her ne kadar 1 tane güvenlik duvarı olsa da
kuruluş için çok önemlidir.

Saldırganların veya bu zafiyeti istismar edecek bir zararlı
yazılımın, zafiyetin varlığını ne kadar kolay tespit edebildiği konusu
tehlike seviyesini etkileyecektir.

Saldırganın uygulama veritabanına doğrudan komut göndermesine imkan
veren SQL injection açıkları ikiye ayrılır; hata mesajını gösterenler ve
göstermeyenler. Veritabanına gönderilen sorguya müdahale eden saldırgan
müdahalenin etkili olduğuna dair bir ipucunu görebiliyorsa, bu zafiyeti
tespit etmesi ve istismar etmesi daha kolaydır.

Aşağıdaki örnekte komşu ülke yunanistan’da bulunan bir otel web sayfası görülebilir:

siber güvenlik zafiyeti nedir örnek resim 1

Adres çubuğunda bulunan “id” parametresindeki değerin sonunda ‘
işareti koymak veritabanına giden sorgunun kafasını karıştırmaktadır.
Bu, aşağıdaki gibi sunucudan dönen “1. Satırın sonunda tırnakla ilgili
bir yazım hatası var” anlamındaki hata mesajında da açıkça görülebilir.

Bu durumda saldırgan bu sayfanın zafiyetten etkilendiğini açıkça
görebilmekte ve bu sayede istismar edebilmesi kolaylaşmaktadır. Bu hata
mesajı görülmese zafiyet yine istismar edilebilir ancak bu kadar açık
görülmediği için tespit edilmesi bir miktar zorlaşır.

zafiyet nedir örnek resim 2

Zafiyeti istismar etmek için saldırganın ihtiyaç duyacağı teknik
beceri düzeyi zafiyetin kuruluş açısından ne kadar tehlikeli
olabileceğini etkiler. Yukarıdaki zafiyet Sqlmap aracı ile kolayca
istismar edilebilir ve site üzerindeki pek çok bilgi, sitenin yönetici
kullanıcı adı ve parolası dahil, çekilebilmektedir.

zafiyet nedir örnek resim 3

Zafiyetin sistem üzerindeki etkisini değerlendirmek için bilgi
güvenliğinin temel taşları olan gizlilik, bütünlük ve erişilebilirlik
seviyelerini ne derece bozduğu değerlendirilir. Bu örnekte sitenin
müşteri e-posta adresleri ve ev adreslerinin yanında site yönetici
kullanıcı bilgileri çekilebildiği için etki kritik olarak
değerlendirilmelidir.

Yaygın olarak görülen siber güvenlik zafiyeti türleri

NIST (National Institute of Standards and Technologies) zafiyetleri
nedenlerine göre Common Weakness Enumeration Specification (CWE)
(https://nvd.nist.gov/vuln/categories ) başlıkları altında
sınıflandırır. Hassas verilerin şifrelenmeden saklanmasından, kullanıcı
girişlerini etkileyenlere kadar geniş bir yelpazede takip edilen CWE’ler
zafiyetlerin nedenine odaklanmaktadır. Zafiyetler 119 ana başlık altında incelenmektedir ve https://nvd.nist.gov/vuln/categories/cwe-layout linkinden incelenebilir.

Siber güvenlik yönetimi bakışıyla bir zafiyeti değerlendirmek ve
sınıflandırmak söz konusu olduğunda ise zafiyetin etkilerinin
nedenlerinden daha önemli olduğu düşünülür.

Yaygın olarak görülen siber güvenlik zafiyetlerinin etkileri:

Yaygın olarak görülen güvenlik zafiyetlerinin etkilerini 3 temel grupta ele alabiliriz:

  1. Komut çalıştırma (Remote Code Execution): Hedef sistem üzerinde

    komut çalıştırmaya imkân veren zafiyetler. Bunları istismar eden

    saldırganlar sistemin yönetimini ele geçirip daha önce saydığımız

    gizlilik, bütünlük ve erişilebilirliği kısmen veya tamamen

    etkileyebilir.

  2. Yetki yükseltme: Sisteme erişim sağlayan saldırganın daha etkili bir

    saldırı gerçekleştirip amacına ulaşması için çoğunlukla kullanıcı

    seviyesinin üstünde yetkilere ihtiyacı olur. Yetki yükseltme zafiyetleri

    saldırganın sistem üzerinde yetkili kullanıcı hale gelmesini sağlar.

    Böylece sıradan bir kullanıcının yapabileceğinden fazlasını yapabilir.

  3. Bilgi ifşası (memory leak): Önbellekte veya diskte tutulan

    bilgilerin saldırgan tarafından görüntülenebilmesini sağlayan

    zafiyetler.

“Komut çalıştırma” veya “Yetki yükseltme” gibi terimler özellikle
güvenlik zafiyetlerinin etkilerini anlamak amacıyla bir saldırganın
sistem üzerinde yapabileceklerine dair kullanılanılır.

Zafiyet Taraması Nedir?

Zafiyet taraması; mevcut ve çıkması muhtemel zafiyetlerin tespit edilmesidir.

Bir sonraki zafiyet taraması sonucunu veya yeni çıkan zafiyet
haberini değerlendirirken yukarıda yer alan sınıflardan hangisine
girdiğine, yaygınlığına, tespit etme kolaylığına ve istismar edilme
kolaylığına bakmak önceliklendirme yapmayı kolaylaştıracaktır.

Zafiyet taraması ile ilgili daha detaylı bilgi için ZAFİYET TARAMASI, YÖNETİMİ, METODOLOJİSİ ve ARAÇLARI makalesi incelenebilir.

Başa dön