SQL Enjeksiyonunun Mahkeme Ziyareti

 (sockpuppet.org)
1 puan yazan GN⁺ 2025-02-26 | 1 yorum | WhatsApp'ta paylaş

Özet

  • Illinois eyaletinin Bilgi Edinme Özgürlüğü Yasası'na (FOIA) göre, kamu kurumlarının elindeki bilgilerin çoğu açıklanmaya tabidir; ancak Chicago kenti, veritabanı şemasının (schema) güvenlik riski yaratabileceği gerekçesiyle FOIA talebini reddetti. Bunun üzerine veri gazetecisi Matt Chapman dava açtı ve uzman tanıklığıyla şemanın bir güvenlik tehdidi olmadığını kanıtlayarak ilk derece ve temyiz mahkemelerinde kazandı, ancak nihayetinde Illinois Eyalet Yüksek Mahkemesi'nde kaybetti.
  • Yüksek Mahkeme, veritabanı şemasının "dosya düzeni"ne karşılık geldiği için açıklama kapsamında olmadığı yönünde yorum yaptı; bunun sonucunda kamu kurumlarının veritabanı yapısını gerekçe göstererek bilgi edinme taleplerini reddetmesinin önü açıldı. Ancak bu sorunu çözmek için bir yasa teklifi (SB0226) sunuldu; teklif, kamu kurumlarının veritabanı yapısını açıklayarak bilgi talep edenlerin belirli veri sorgularını isteyebilmesini sağlayan hükümler içeriyor.
  • Söz konusu yasa teklifi, bilgi şeffaflığını güçlendiren önemli bir adım ve desteklenmesi için yerel milletvekilleriyle iletişime geçilip teklifin kabul edilmesi yönünde çağrı yapılması gerekiyor.

Arka plan

  • Illinois eyaletinin Bilgi Edinme Özgürlüğü Yasası (FOIA) güçlüdür ve çoğu durumda kamu kurumlarının topladığı bilgiler kamu malı sayılır.
  • Bilgi talebi e-postayla basitçe yapılabilir ve talebe yanıtın yasal olarak 5 gün içinde verilmesi gerekir.
  • FOIA'nın başlıca sınırlaması, yeni bir kayıt oluşturulmasını zorunlu kılamamasıdır.
  • Veritabanı şeması, veritabanının yapısını tanımlar; kamu kurumlarının bilgileri giderek daha fazla veritabanlarında tutmasıyla birlikte önemi artmaktadır.

Matt Chapman, Chicago kentine karşı

  • Matt Chapman, büyük ölçekli FOIA talepleri yoluyla veri gazeteciliği yapan bir uzmandır.
  • Chicago'nun CANVAS sistemi, park cezası verilerini merkezi olarak yöneten büyük bir veritabanıdır; Matt bu veritabanının şemasını talep etti ancak talebi reddedildi.
  • Chicago, bilginin açıklanmasının sistem güvenliğini tehdit edebileceği gerekçesiyle talebi reddetti ve Matt bunun üzerine dava açtı.

Tanık kürsüsüne çıkmam

  • Veritabanı şemasının açıklanmasının güvenliği tehdit edip etmediği konusunda tartışma yaşandı.
  • SQL enjeksiyonu, veritabanlarına yönelik başlıca saldırı yöntemlerinden biridir ve veritabanı şemasının saldırıda kullanılıp kullanılamayacağı tartışıldı.
  • Ben de tanıklığımda, SQL enjeksiyonu saldırılarının veritabanı şeması üzerinden gerçekleşmediğini özellikle vurguladım.

Hukukun kanlı ayak izleri

  • İlk derece mahkemesinde kazanıldı, ancak Chicago hemen temyize gitti.
  • Temyiz mahkemesi, bilgi açıklamanın güvenliği tehdit etme ihtimalinin çok yüksek olması gerektiğini vurguladı.
  • Sonuçta Illinois Yüksek Mahkemesi, veritabanı şemasının dosya düzeni olarak kabul edilebileceğine hükmetti.

Mevcut durum

  • Illinois eyaletindeki kamu kurumları, veritabanı şemalarını açıklamayı reddetme yetkisine sahip.
  • Veritabanları bilgiyi gizlemenin bir aracı olmamalı ve yeni yasa teklifi SB0226 bunu çözebilir.
  • Bu yasa teklifi, talep sahiplerinin belirli sorgular isteyebilmesi için veritabanı yapısının yeterince açıklanması gerektiğini belirtiyor.

İlgili okumalar

1 yorum

 
GN⁺ 2025-02-26
Hacker News görüşleri

  • Merhaba, ben bu davanın davacısıyım. tptacek'in gönderisine eşlik eden bir gönderi hazırlıyorum. Bu arada sorunuz varsa dilediğiniz zaman sorabilirsiniz

    • Beklerken şu eski gönderiye göz atın: bağlantı

  • "Bob O'nun tüm park cezası verilerini sorgulamak ve veritabanındaki diğer her şeyi de sorgulamak" örneği, SQL Injection'a bir örnektir. Burada "everyone's" ifadesi tek başına duran küçük tırnak nedeniyle sorun çıkarır

  • Şehrin şemayı paylaşması gerektiğine inanıyorum, ancak SQL şemasını bilmenin saldırgana yardımcı olmayacağı yönündeki makalenin ana fikrine katılmıyorum

    • Saldırganlar SQL Injection saldırıları kullanarak SQL şemasını yeniden oluşturur. Şema, saldırının önkoşulu değil sonucudur
    • Açık bulunduğunda şemanın geri çıkarılabileceği ima ediliyor, ancak bu her zaman böyle değildir. Şemayı bilmek açığı istismar etmeyi kolaylaştırabilir

  • Kurt bu yazıyı benimle dalga geçmek için yayımladı. Benim kitlem çoğunlukla Chicago bölgesi siyasetiyle ilgili teknik olmayan insanlardan oluşuyor

    • Yerel siyasete katılmak çok tepkiseldir. Boş zamanlarımda yasa geçirmek dahil pek çok şey başardım
    • Yerel siyaset mesaj panoları etrafında döner. Katılırsanız çok şey başarabilirsiniz

  • Yüksek Mahkeme ile temyiz mahkemesinin bir sözdizimi meselesi yüzünden farklı görüşte olması tuhaf değil mi?

    • Tuhaf olan, yasanın belirsiz bırakılmış olması. Yasanın temel cümle yapısı mahkemeler için açık değilse, sistem ilk engelde çökmüş demektir

  • Kaynak kod muafiyeti konusunda biraz afallayan ya da endişelenen tek kişi ben miyim?

    • Şehrin belirli bir yazılımı kendi geliştirdiği ve kaynak kodun içine "önyargı" gizleyebildiği bir senaryoyu hayal etmek kolay
    • Önerilen değişikliğin yeterli olmadığını düşünüyorum

  • Çok ilginç bir okuma

    • Şemayı açıklamanın koruma sağladığını düşünmek saçma. Küçük bir şirkette çalışıyorum ve müşterilere ihtiyaç duydukları verileri sağlamaya çalışıyorum

  • Illinois Yüksek Mahkemesi'nin kararına göre "her şey bir dosyadır" deme fırsatı doğmuş gibi görünüyor

  • cleartap.com projesi için FOIA kapsamında 1 milyondan fazla sayfa belge talep ettim. Çoğu eyalet belge toplama için küçük bir ücret alıyor

    • Michigan, FOIA talebi için $50K istedi. Sanırım bunun nedeni Flint su kurşunu kriziydi. Benim vazgeçmemi istiyorlardı

  • Hükümetin hangi verilere sahip olduğunu kamu bilemiyorsa bilgi özgürlüğü de yoktur