03-10-2007, 06:51 AM
Güvenlik alanında yaptığı çalışmalarla tanınan, bir çok kez bu konuda ödüller alan Marcus Ranum bilgisayarlarımızın güvenliği konusunda yaptığımız altı aptalca şeyi listelemiş. bir kaçı ilginç gelebilir
1 Default Permit; güvenlik duvarı yazılımlarından bildiğimiz "default permit", varsayılan izinler olayı. Marcus bunu, inanılmaz dercede inatçı ve çözülmesi zor bir sorun olarak tanımlıyor. incoming telnet, ftp ve rlogin in kapatılması ve geri kalan herşeyin açık olması.
bir diğer konu, herhangi bir eski virus ve ya spy'ın sormadan birşeyleri silebildiğine akıl erdiremiyor Marcus. Bir işletim sistemi bu kadar aptal olabilir mi?
2 Enumerating Badness; zararlı kodların açıkların ve benzeri kötü şeylerin listelenmesi. İlk başlarda bilinen 10-15 kötü şeyin listelenmesi normaldi diyor Marcus, ama şu an her ay 700'ün üzerinde yeni zararlı çıkıyor. Ve toplam da kötü şeylerin sayısı, iyi şeylerin sayısını, kat kat geçti. Bunlar, virusler, casuslar, trojanlar, wormlar vs.. Marcus diyor ki, kötü şeylerin dışında benim sisteminde çalışan 30-40 tane iyi şey var. kötü şeyleri listeleyip engellemeye çalışacağımıza, iyi şeyleri listeleyip sadece bunlara izin vermeliyiz. Bnun da bir aptallık olarak örneklere açıklıyor.
3 Penetrate and Patch; açık olan bir yazılım yamalandığında ve ya tamir edildiğinde, kötü kodların eklenmesinden sonra tamir edildiğini söylüyor MArcus. ve bunun neden aptalca birşey olduğunu basic programlama dilinde anlatıyor:
10 GOSUB LOOK_FOR_HOLES
20 IF HOLE_FOUND = FALSE THEN GOTO 50
30 GOSUB FIX_HOLE
40 GOTO 10
50 GOSUB CONGRATULATE_SELF
60 GOSUB GET_HACKED_EVENTUALLY_ANYWAY
70 GOTO 10
4 Hacking is Cool; bu son zamanlara forumumuzda da tartışılan bir konu. hack yapmak havalı bir şey. Marcus "hacker" ların teknolojik bir sorun değil, sosyal bir sorun olduğunu söylüyor. Bırakın hackerlıkla uğraşmanın, güvenlikçilerinde kendilerini geliştirmek için hackerlık öğrenmeye çalışmasını dahi aptalca buluyor.
5 Educating Users; Marcus, kullanıcıların eğitilmesi teorisini de aptalca buluyor. Neden kullanıcılar eğitilmeli ki diyor? hesabı bile olmadığı bankadan gelen hesap özeti mailini açan insanları eğitmenin boş bir iş olduğunu söylüyor. Ve eğer işletim sistemleri ve yazılımlar default permit, penetrate and patch gibi aptallıkları yapmasalar, kullanıcıların ne kadar güvenlik bilgisinin olup olmadığının farketmeyeceğini söylüyor.
6 Action is Better Than Inaction; Marcus'a göre IT yöneticileri ikiye ayrılıyor, " çabuk adapte olanlar" ve "durup düşünenler". Ve deneyimlerine göre, çabuk adapte olan kısmın, güvenlik konusunda, her zaman daha başaılı olduğunu söylüyor ve örneklerle anlatıyor.
1 Default Permit; güvenlik duvarı yazılımlarından bildiğimiz "default permit", varsayılan izinler olayı. Marcus bunu, inanılmaz dercede inatçı ve çözülmesi zor bir sorun olarak tanımlıyor. incoming telnet, ftp ve rlogin in kapatılması ve geri kalan herşeyin açık olması.
bir diğer konu, herhangi bir eski virus ve ya spy'ın sormadan birşeyleri silebildiğine akıl erdiremiyor Marcus. Bir işletim sistemi bu kadar aptal olabilir mi?
2 Enumerating Badness; zararlı kodların açıkların ve benzeri kötü şeylerin listelenmesi. İlk başlarda bilinen 10-15 kötü şeyin listelenmesi normaldi diyor Marcus, ama şu an her ay 700'ün üzerinde yeni zararlı çıkıyor. Ve toplam da kötü şeylerin sayısı, iyi şeylerin sayısını, kat kat geçti. Bunlar, virusler, casuslar, trojanlar, wormlar vs.. Marcus diyor ki, kötü şeylerin dışında benim sisteminde çalışan 30-40 tane iyi şey var. kötü şeyleri listeleyip engellemeye çalışacağımıza, iyi şeyleri listeleyip sadece bunlara izin vermeliyiz. Bnun da bir aptallık olarak örneklere açıklıyor.
3 Penetrate and Patch; açık olan bir yazılım yamalandığında ve ya tamir edildiğinde, kötü kodların eklenmesinden sonra tamir edildiğini söylüyor MArcus. ve bunun neden aptalca birşey olduğunu basic programlama dilinde anlatıyor:
10 GOSUB LOOK_FOR_HOLES
20 IF HOLE_FOUND = FALSE THEN GOTO 50
30 GOSUB FIX_HOLE
40 GOTO 10
50 GOSUB CONGRATULATE_SELF
60 GOSUB GET_HACKED_EVENTUALLY_ANYWAY
70 GOTO 10
4 Hacking is Cool; bu son zamanlara forumumuzda da tartışılan bir konu. hack yapmak havalı bir şey. Marcus "hacker" ların teknolojik bir sorun değil, sosyal bir sorun olduğunu söylüyor. Bırakın hackerlıkla uğraşmanın, güvenlikçilerinde kendilerini geliştirmek için hackerlık öğrenmeye çalışmasını dahi aptalca buluyor.
5 Educating Users; Marcus, kullanıcıların eğitilmesi teorisini de aptalca buluyor. Neden kullanıcılar eğitilmeli ki diyor? hesabı bile olmadığı bankadan gelen hesap özeti mailini açan insanları eğitmenin boş bir iş olduğunu söylüyor. Ve eğer işletim sistemleri ve yazılımlar default permit, penetrate and patch gibi aptallıkları yapmasalar, kullanıcıların ne kadar güvenlik bilgisinin olup olmadığının farketmeyeceğini söylüyor.
6 Action is Better Than Inaction; Marcus'a göre IT yöneticileri ikiye ayrılıyor, " çabuk adapte olanlar" ve "durup düşünenler". Ve deneyimlerine göre, çabuk adapte olan kısmın, güvenlik konusunda, her zaman daha başaılı olduğunu söylüyor ve örneklerle anlatıyor.