|
III. Ağ ve Bilgi Güvenliği Sempozyumu kapsamında 5 Şubat 2010 Cuma günü tamamlanan sunumların ardından Güvenli Yazılım ve Bilgi Güvenliği Paneli düzenlendi. İstanbul Teknik Üniversitesi öğretim üyelerinden Prof. Dr. Eşref Adalı’nın yöneticiliğini yaptığı panelde Dr. Semih Çetin (Cybersoft), Ahmet Pekel (Türkiye Cumhuriyet Merkez Bankası), Doç. Dr. Atilla Elçi (Orta Doğu Teknik Üniversitesi Kuzey Kıbrıs Kampüsü), Bora Güngören (EMO Ankara Şubesi) ve Hayretdin Bahşi (TÜBİTAK UEKAE) panelist olarak yer aldılar.
Panelde ilk sözü alan Dr. Semih Çetin bilgi güvenliği ve özellikle "güvenlik" temalı bir sunum gerçekleştirdi. Bilgi güvenliği için o bilgiyi; oluşturan, saklayan, işleyen, taşıyan, paylaştıran bilgi sisteminin güvenli ve güvenilir olması gerekliliğini anlatarak konuşmasına başlayan Çetin "Güvenilir Yazılım" (Reliable Software) ve "Güvenli Yazılım" (Secure Software) kavramları hakkındaki genel özelliklerden bahsetti. Konuşmasında güvenli bir yazılım için karşılaşılabilecek tehditlerden örnekler veren Çetin güvenlik olgusundaki insan kavramı için Pareto kuralının anlatırken şunları söyledi: "Pareto Prensibi diğer bir deyişle %80-%20 kuralıdır. Bu prensibe göre güvenlik sürecinde en zayıf halka insandır. Saldırıların %80‘i insan, %20‘si diğer nedenlerden kaynaklanmaktadır. Yine bu saldırıların %80‘i bilgi sistemi bünyesindeki insanlardan gelmektedir. Ne var ki saldırıların %80‘i de insan tarafından bertaraf edilmektedir."
Çetin bilgi güvenliğinin bir kalite belirteci sayılabileceğini anlattığı sunumunda güvenliğin mimari bir olgu olduğu düşüncesiyle mimari senaryo tanımı yaparak ve bunu bir örnekle de tarifleyerek sözlerine son verdi.
Çetin‘in ardından söz alan Ahmet Pekel 1984‘ten günümüze bilgisayar teknolojilerinin gelişim ve sıçrama dönemlerine ilişkin bir değerlendirme ile konuşmasına başladı. Yıllar içinde kullanıcı taleplerinin teknolojik gelişmeyi tetiklediği ve gelişen teknolojinin teknolojiyi kullanım oranlarını yükselttiği tespitleri ile sunumuna devam eden Pekel günümüz internet uygulamalarının geldiği noktayı anlatırken finans, e-ticaret, telekomünikasyon, basın, sigorta, sağlık, eğitim, sosyal paylaşım siteleri, belediye hizmetleri ve devlet hizmetleri gibi alanlardan örnekler verdi.
"Yazılım güvenliği konusunda farkındalık yeterli değil. Organizasyon, yazılım geliştiriciler ya da tedarikçiler düzeyinde bu konunun önemi yeterince kavranabilmiş değil. Güvenlik, çoğu kez kod geliştiricinin öncelikleri arasında yer almıyor, zaman kaybettirdiği düşünülüyor. Hızlı kod geliştirme ihtiyacı, güvenlik kontrollerinin gerçekleştirilmesinde direnç oluşmasına neden oluyor. Ve son olarak da bu konuda eğitim ihtiyacımız var. Buna Uygulama Güvenliği ve Farkındalık Eğitimleri dersek, bu eğitimler üniversitelerde ders olarak verilebilir, e-öğrenme olanakları kullanılabilir hatta bu konu e-devlet çalışmaları kapsamında da ele alınmalıdır."
Güvenlik açıkları kodu baştan yazmayı gerektirebilir...
"Uygulama Geliştirme Güvenliği, Uygulama Geliştirme Yaşam Döngüsünün bir alt süreci olarak ele alınmalıdır. Yazılım geliştirme ve bakım aşamalarında kod düzeyinde güvenlik test süreci ilave edilmelidir. Geliştirme zamanının belli bir bölümü (%5-10) kod analizine ayrılmalıdır. Kontroller otomatik ve manuel düzeyde iki aşamalı yapılmalıdır. Kontroller; kod yazılırken, geliştirme sonrasında, üretime geçiş öncesinde, üretimde belli periyodlarda yapılmalıdır. Dışarıdan alınan test hizmetlerine uygulama güvenliğine yönelik kontroller ilave edilmelidir. Uygulama güvenliğinde bu basamaklar atlandığı takdirde güvenlik açıkları kodu baştan yazmayı gerektirebilir..."
Hataların oluşmadan önlenmesi için yapılacak çalışmaların, oluşacak hataların çözülmesi için çaba harcamaktan daha ekonomik olacağına vurgu yapan Pekel yazılım ve bilgi güvenliğini sağlayabilecek temel prensiplerden bahsettiği konuşmasının son bölümünü güvenlik tehditlerine karşı alınabilecek önlemlerle bitirdi.
Güvenli yazılımı profesyonel yazılımcılar yazar güvenlikçiler değil!
Panelde üçüncü olarak söz alan Prof. Dr. Atilla Elçi güvenli yazılımın tarifini şöyle yaptı: "Güvenli yazılım en temel olarak beklendiği gibi düzgün çalışan, zayıflığı olduğunca az yani güvene layık ve kötücül/yanlış kullanımlara karşı dayanıklı olan yazılımdır diyebiliriz." Elçi bu tanımlamanın üzerine salonda bulunanlara "güvenli yazılımı kim yazar?" sorusunu yöneltti ve ardından devam etti: "Konumuz bilgi işlem uygulaması ise bunun başka yolu yoktur, bu profesyonel yazılımcıların işidir. Amaç güvenlik önlemi geliştirmek değil, güvenli yazılım geliştirmektir, bu sebeple yazılım güvenlikçilerin değil profesyonel yazılım takımının işidir. Güvenli yazılım üretmek için ilgi, beceri, yöntem ve araç gerekir. Olaya kurumsal çerçevede ve yazılım teknolojisi bağlamında yaklaşılmalıdır."
Panelde en son konuşmacı EMO Ankara Şubesi Yönetim Kurulu Sayman Üyesi Bora Güngören oldu. Güngören konuşmasına ağ ve platform güvenliği kavramlarının ayrımı temelinde başladı. Platformların 80‘lerden beri ticari kaygılarla genel amaçlı tasarlandığından bahseden Güngören genel kullanıma açık tasarıların saldırılara da açık tasarımlar olduğunun altını çizdi. Bu açıkları kapatmanın ise zaman ve maliyet anlamına geldiğini belirten Güngören şunları söyledi: " platform güvenliğini sonradan yerleştirmek için yapılan çalışmalar genellikle vekil tasarımları gerektiriyor. Web sunucunuzun güvenliği için onun önüne güvenli web sunucusu niteliğinde bir yazılımı vekil ya da ters vekil olarak koyuyoruz. Bu durumda sistem karmaşıklığı eş düzeyde artıyor, maliyet ise en az iki katına çıkıyor."
Çözüm yazılım mimarisinin yeniden yapılanması olabilir
"Güvenliği sonradan takılıp çıkarılabilir biçimde yazma konusunda deneyimlerim oldu. Bazı uygulamalarda mümkün olabilir, örneğin İSO 27001‘e uyum için yapılacakları bu şekilde monte etmek güzel bir çözüm ama bazı yerlerde iş gereksinimleri ya da performans nedeniyle mümkün değil. O zaman platform güvenliğini önceden düşüneceğiz, hedefler koyacağız"
Platform güvenliği konusunda yeni bir teknoloji olan Güvenilir Bilişim (trusted computing) konusunda bilgi veren Güngören en çok tartışma götüren konulardan biri olarak kişisel bilgisayarlar için bu yeni teknolojinin kullanımına ilişkin sakıncalardan da bahsetti ve sözlerini şöyle tamamladı: "Yazılım ve platform mimarisinin ideal biçimde olabilmesi için artan oranda üçüncü taraf bileşeni ve özgür yazılım kullanımını öngörebiliyorum. Bağımsız üçüncü kişi denetimden geçmiş özgür yazılım bileşenlerinin kullanılmadığı ortamlarda, platform güvenliği doğrulamanın inanılmaz bir astar maliyeti var."
Panel salondan katkı ve soruların ardından ikinci turda konuşmacılara söz verilmesi ile son buldu. Panelin sonunda panelistlere katkı belgeleri oturum yöneticisi Prof. Dr. Eşref Adalı tarafından verilirken, Adalı‘nın katkı belgesini ise Prof. Dr. Ümit Karakaş takdim etti.
|
Tanıtım
ANKARA ŞUBE
EMO ANKARA ŞUBESİ 27. DÖNEM KOMİSYON ÇALIŞMALARI HAKKINDA DUYURU
