|
|
Web ve E-Ticaret Sistemleri Önemli Güvenlik Problemleri ile Karşı Karşıya
|
|
|
Ana sayfa
Haberler
Genel Haberler
|
Netcraft tarafından Haziran 2002 tarihli bir araştırma, web sitelerinin Microsoft IIS ve Apache web sunucularinda son olarak çıkan açıklardan dolayı her zamankinden daha tehlikede olduğunu gösterdi.
|
NetCraft'in inceledigi 38,807,788 web sunucusu arasindan %59.67'si (23 milyon adetten fazla site) Apache, %28.96'sı ise IIS kullanıyor. InfoSecure olarak, Türkiye'de de web sitelerinin benzer bu platformları benzer bir yaygınlıkta kullandığını düşünüyoruz.
ISS kullanilan siteler arasinda yapilan inceleme bu sitelerin %45'inin .htr dosya haritalamasını desteklediğini ve .htr dosyalarına yapılan tampon bellek aşımı saldırılarından etkilenebileceğini gösteriyor. Microsoft bu problemi (http://www.microsoft.com/technet/security/bulletin/ms02-028.asp) 11 Haziran'da duyurdu. Daha sonra 17 Haziran'da Mark Litchfield, Apache sunucularda sunucuya sızmayı sağlayan bir güvenlik açığı rapor etti (http://httpd.apache.org/info/security_bulletin_20020620.txt). Bunları takiben, haziran ayının son haftasına kadar yaklaşık 6 milyon adet web sitesi bu güvenlik açığının giderildiği bir sürüme terfi ettiler. Ancak geride daha yaklaşık 14 milyon adet web sitesi var. Netcraft bu web sitelerinden halen yarısının bu açıklardan etkilenebilir durumda olduğunu tahmin ediyor. Sözkonusu açıkları kullanan bir kurtçuk (http://dammit.lt/apache-worm) Internet üzerinde yayılmaya başladı.
Netcraft araştırması (http://www.netcraft.com/survey/) gerçekleştirildiğinden bu yana Microsoft, web teknolojisinde başka önemli problemler de açıkladı. 26 Haziran tarihinde, Microsoft, Commerce Server kullanıcılarını, saldırganların istedikleri kodu çalıştırmak üzere sistemlerine sızabileceğine dair uyardı (http://www.microsoft.com/technet/security/bulletin/MS02-033.asp). Büyük e-ticaret şirketleri tarafından kullanılan Commerce Server'in yaklaşık 36.000 site tarafından kullanıldığı tahmin ediliyor. Ülkemizde büyük e-ticaret siteleri ve Internet servis sağlayıcılarına ait bazı e-ticaret sistemlerinin bu platformu kullandığı biliniyor.
Commerce Server uygulaması ile ilgili en önemli problem söz konusu saldırının SSL bağlantısı kurularak gerçekleştirilebilmesi. Zira SSL bağlantısı ile şifreleme gerçekleştirilerek yapılan bir saldırıda sızma denetleme sistemleri, trafik şifrelendiği için trafiği kontrol edip gerekli işlemleri gerçekleştiremezler. InfoSecure güvenlik denetim servisleri olarak, bu nedenle bütün kurum ve kuruluşlara sistemlerinin güvenliğini incelemeyi, bir güvenlik denetimi yaptırmayı ve özellikle Commerce Server kullanan siteler başta olmak üzere tüm sitelerin bir an önce gerekli yamalarını geçmelerini öneriyoruz. |
|
|
|
