Olympos Security

Hackersafe = nessus + basit web uygulama kontrolleri

Ne hackersafe ne Qualys ne de diger otomatik guvenlik acigi tarama hizmeti sunan yerler guvenlik aciklarini tespitte henuz yeterli degiller. Ozellikle web uygulamasi testlerinde sadece veritabanlarina kayitli bilinen bazi hazir portallarin aciklari ve birkac basit ek kontrol yapabiliyorlar. eno7'nin de belirttigi gibi Hackersafe logosu olup sql injectionⁱ acigi ile tamamen ele gecirilebildigini gordugumuz yerler var. Bu tip otomatik araclarin henuz zekalarinin tam olgunlasmadigina basit bir ornek ise, bir yerde web directory/folder enumeration yapip site.com/db klasorunu bulduktan sonra, site.com/db/site.mdb gibi basit kontrolleri yapmamasi. Directory/File enumeration da admin kelimesini denemeleri ama yonetici ve diger turkce isimli klasor/sayfa isimlerini denememeleri. Sifre brute force icin icinde alemdar, cimbom, kanarya, 1903, 1905 vb Turkiye'de kullanilabilecek türdeki sifreler iceren dictionaryleri olmaması. Daha pek cok ornek verilebilir ama hikayenin ana fikri guvenlik denetimini otomatik araclarin yaninda bir de guvenlik uzmanlarina yaptirmak.
Hackersafe, qualys ve diger otomatik guvenlik denetim servisleri mutlaka onemli, ek bir guvenlik sagliyor, fakat su an icin sadece onlara guvenerek rahat uyumak mumkun degil. Yukaridaki yaziyi okuyanlar ciddi ciddi "biz eno7 ile kontak kurup bir danisalim" demeli. Hicbir arac bu islerle hands-on deneyimi olan biri kadar derinlemesine ve akilli olarak denetleyemez. Otomatik araclar ve denetim yapan uzmanlar birbirine eklenmeli. Her ikisi birbirini cok iyi tamamlayacak ve birinin gozden kacirdigini digeri tespit edecektir.
Firma yoneticileri veya web uygulama gelistiricileri guvenligi kendi bilgilerine gore degerlendirmemeli! Denetim ile ilgili yapılan bir toplantıda konu wireless'a geldiginde "Biz mac filtrelemesi yapiyoruz, kablosuz agimiza giremezler" diyen yoneticiler hatırlıyorum. Yada firma web developerlarının, "biz md5 kullanıyoruz db ye girseler de birsey yapamazlar", "kullanici adi sifre kisminda javascript ile kontrol yapiyoruz, harf rakamdan baska sey basamazlar" gibi "guvenligi kendi bilgisi ile degerlendiren" kisilere rastladım. Onlara her zaman dedigim; Bu konuda degerlendirmeyi siz yapmayin. Bu isin uzmani olduklarina emin oldugunuz insanlara danisin. IPS+otomatik guvenlik acigi tarayici araclar+guvenlik uzmanlari , bu 3lu daha rahat uyuyabilmenizi saglar.

Qualys veya hackersafe in yaninda Webinspect, Appscan, Acunetix gibi otomatik web uygulama denetimi araclari da kullanilmali. Qualys benim gordugum en basarili automated vulnerability assesment araci. Web uygulamadaki eksiklerini de bu aralar gidermeye calisiyorlar. Tam bir web uygulama denetimi ozelligi eklemekle ugrastiklarini duyurdular. Umut verici gelismeler oluyor. Fakat henuz daha (tek baslarina kullanim icin) yeterli degiller.

iyi calismalar,

Ertan Kurt