Bilgisayar Güvenliğindeki Altı Aptalca Fikir (2005)

 (ranum.com)
5 puan yazan GN⁺ 2024-07-16 | 1 yorum | WhatsApp'ta paylaş
  • Bilgisayar güvenliğindeki en aptalca altı fikir
    • Bilgisayar güvenliği hâlâ "sıcak bir konu"
    • Bu kadar zaman ve para harcanmasına rağmen neden hâlâ sorun yaşanıyor?

Varsayılan izin

  • "Varsayılan izin" farklı biçimlerde ortaya çıkar
  • En yaygın olarak güvenlik duvarı kurallarında görülür
  • Yeni bir güvenlik açığı bulunduğunda yöneticinin bunu engelleyip engellemeyeceğine karar vermesi gerekir
  • "Varsayılan izin", hackerlarla sonsuz bir rekabete yol açar
  • Karşıtı olan "varsayılan ret" iyi bir fikirdir

Kötü şeyleri listelemek

  • İlk dönem bilgisayar güvenliğinde yalnızca iyi bilinen birkaç güvenlik deliği vardı
  • "Kötü şeyleri listelemek", tüm zararlı unsurları listeleyip engellemek demektir
  • İnternetteki zararlı unsurlar, iyi niyetli unsurlardan daha fazla hâle geldi
  • "Kötü şeyleri listelemek" verimsizdir; "iyi şeyleri listelemek" daha iyi bir yaklaşımdır

Sız ve yama yap

  • "Sız ve yama yap", hataları bulup düzeltme yaklaşımıdır
  • Bu yaklaşım, kodun temel sorunlarını çözmez
  • Güvenlik açıklarını bulup yamalamak kökten bir çözüm değildir
  • Güvenlik sistemleri daha tasarım aşamasından itibaren güvenli hâle getirilmelidir

Hacking havalıdır

  • Hacking'i havalı görmek aptalca bir fikirdir
  • Hacking teknik bir sorun değil, toplumsal bir sorundur
  • Hackerları kahramanlaştırmak, hacking'i teşvik etmek demektir
  • Güvenlik uzmanlarının hacking tekniklerini öğrenmesi de aptalca bir fikirdir

Kullanıcı eğitimi

  • Kullanıcı eğitimi, "sız ve yama yap" yaklaşımının insan sürümüdür
  • Kullanıcıları eğitmek kökten bir çözüm değildir
  • Sorunu çözmeye çalışmak yerine sorunu ortadan kaldırmak daha iyi bir yaklaşımdır

Eylem, eylemsizlikten iyidir

  • "Eylem, eylemsizlikten iyidir" düşüncesi aptalca bir fikirdir
  • Yeni bir teknolojiyi devreye almadan önce onu yeterince incelemek ve beklemek daha iyi bir stratejidir
  • "Aptalca bir şey yapmamak, akıllıca bir şey yapmaktan daha kolaydır" sözünü hatırlamak gerekir

GN⁺ özeti

  • Bu yazı, bilgisayar güvenliğinde sık yapılan aptalca hataları ele alıyor
  • Güvenlik sistemi tasarlanırken temel sorunları çözmek önemlidir
  • Hacking'i havalı gören kültür, hacking sorununu daha da kötüleştirebilir
  • Kullanıcı eğitiminden çok, sorunu kökten çözen bir yaklaşıma ihtiyaç vardır
  • Yeni teknolojileri devreye alırken yeterince incelemek ve temkinli davranmak önemlidir

İlgili okumalar

1 yorum

 
GN⁺ 2024-07-16
Hacker News görüşü

  • 'Default Deny', 'Default Permit'e göre daha zor değildir ama BT güvenlik sorumlularına daha rahat bir uyku sağlar

    • Ancak şirketteki diğer insanlar, BT departmanıyla defalarca ek uğraş yaşamadan hiçbir şey çalışmadığı için buna çok sinir olur
    • İnsanlar ne kadar sinirlenirse, BT güvenliği kavramlarını zayıflatan dolambaçlı yollara başvurma olasılıkları o kadar artar
    • İyi BT güvenliği, kullanıcıya görünmeyen ve onu engellemeyen bir sihir gibi olmalıdır

  • 90'ların sonu ile 2000'lerin başında Marcus Ranum ve Bruce Schneier, zafiyet açıklamanın zararlı olduğunu savunuyordu

    • Ancak bu bakış açısı kanıtlanmadı
    • Günümüzde çoğu güvenlik akademik konferansı saldırı araştırmalarını da içeriyor

  • Parolalardan hiç bahsedilmemesi şaşırtıcı

    • Parola bileşim kuralları ve parola rotasyonunun özünde saçma olduğunu düşünüyorum
    • Kullanıcıların parolalarını kolay hatırlayabilecekleri şekilde seçmelerine izin verilmeli

  • Güvenlik testine gerek olmadığını savunmak, güvenliğe dair en kötü bakış açısıdır

    • Hacklemenin teknik bir sorun değil, toplumsal bir sorun olduğunu savunmak da yanlış bir bakış açısıdır

  • Güvenlik odaklı yaklaşım kullanıcı için rahatsızlık yaratır

    • Güvenlik ile kullanım kolaylığı arasında denge kurmak önemlidir
    • Zafiyetleri ve exploit'leri araştırmak, güvenliği öğrenmek açısından faydalıdır

  • Hacklemek havalıdır ama başkalarının verilerine ve sistemlerine erişmek öyle değildir

    • Kendi sistemini derinlemesine anlayıp üzerinde oynama yapmak faydalıdır

  • Exploit öğrenmek, teori ile pratiği birlikte öğrenmek için faydalıdır

  • Kullanılabilirlik ile güvenlik arasındaki talihsiz ödünleşim sorundur

    • 'Default Permit' gibi yaklaşımlar güvenliğe zararlıdır
    • Parolalar kullanıcıların hatırlaması için zordur ve rahatsız edicidir

  • İstemciye güvenmek, güvenlik modelinin bozulmuş olduğu anlamına gelir

  • 'Penetrate and Patch' yaklaşımı güvenlik çalışmalarını anlamsız hale getirir

    • Sistemi güvenli tasarlamaktan ziyade zafiyet bulup düzeltmek daha önemli hale gelir
    • Yasadışı erişim ile güvenlik danışmanlığını ayırmak iyi olur