Güvenli sörf

Artık internet kullanıcıları olarak hep en iyisini en gelişmişini istiyoruz ve artık buna her noktasında hakkımız olduğunu düşünüyoruz. Bu düşüncenin de hatalı olduğuna inanmıyorum. Gerçekten web kullanıcısı hızlı ve güçlü bir şekilde her türlü fiziksel gelişmeyi tanımadan ilerliyor. Hatta biz uykudayken bile o gelişmesine devam ediyor.
Bu hafta size tam da böyle bir uyku anında nasıl basit ama kocaman bir açığın ortaya çıktığından, web hızıyla bilgilerin eldeğiştirdiğinden bahsedeceğim. Tabii maceramızın herzamanki gibi başrol oyuncusu Microsoft. Geçenlerde “”.Net”” projesi ile hertürlü MS ürününün internetten de kullanılabileceğini ballandıra ballandıra anlatmışlardı. Bu elişmeler uzak da görünse bir IT’ci için dünyanın en inanılmaz en güzel fantazisi. MS bu gelişmelri açıklamakla kalmadı hemen bize ilk “”bug”” ını gösterdi. Bu açığı bulan kişileri veya grupları tebrik etmek lazım. Çünki bu kadar büyük bir hatanın yapılabileceğini düşünmek gerçekten bir zeka işi. Koskoca bir işletim sisteminin kalbindeki programın internet üzerinden yönetilebileceği kimsenin aklına gelirmiydi.
Bilmiyenler olduğunu düşünerek, bu “”bug”” ın nasıl çalıştığını biraz anlatmak istiyorum. Biliyorsunuz işletim sistemlerinin içinde bütün komutları çalıştırma kapasitesine sahip güçlü bir program var. Dos işletim sisteminde ana dizinde duran bu program windows’un versiyornalrı geliştikçe ismini cmd.exe olarak windows dizini içine aldı. NT’ler de ise windows dizini altında system32 altında bulunur. Bu programın internet üzerinden aynen bir cgi gibi calistirilabiliyor olmasi MS’in gözünden kaçan kocaman bir açık. Bu açık yüzünden herhangi bir dos komutunu browser ekraninizdan calistirabiliyorsunuz. Bu konutlar arasinda copy, move, del de var. Peki bunlar nasil calisiyor. Tabii boyle koca bir hata icin tekbir açık yetmez bir de IIS üzerinde “”..”” ‘nın sizi bir üzt dizine taşıması lazım. Kutlamak lazım.
Bu açık sayesinde ben bu yazıyı yazarken Türkiye’deki server’ların %80’ini önünüzdeki bilgisayar gibi çalıştırabiliyordunuz. Ne komik değil mi MS uzun süre server’larina telnet yapma imkanı olmayan serverlar çıkarmıştı fakat ne kolaymış telnet yapmak. Birgün öne e-ticaret siteleri bu açıklarını kapattı, fakat hala birçok server’da bu hata var. Mesela son olarak www.imedya.com adresine baktım ve koca bir açık gördüm.
Bu açıkla daha neler mi yapılabilir? Server üzerindeki beğendiniz bir database dosyasını, mesela bir bankanın kredi kartı bilgilerinin olduğu bir dosyayı anonymous ftp alanına atıp, sonrada anonymous ftp ile bağlanıp çekebilirsiniz. Bu sayede ne çok datanın aktığına inanmazsınız.
Hani deprem ilgili bir laf vardır ya “”depremler insanları öldürmez, binalar insanları öldürür”” diye ben de bunu biraz uyarlamak istiyorum. İnternet güvensiz değildir, system admin’ler, işletim sistemleri, kötü programcılar, az sermaye işi ile internet projeleri hazırlayan patronlar güvensizdir.

NETleşmek üzere….

Benden Duymuş olmayın:

– E-ticaret işinde, üç önemli bacak vardır. Bunlardan birincisi iyi bir bilgisayar desteği, ikincisi güçlü bir banka, üçüncüsü ise lojistik destek. Danışmanı bulunduğum şirketlere ilk iki bacak için çok net çözümler sunabiliyordum ama artık üçüncü bacak için de son derece başarılı bir şirketin oluşmaya başladığını öğrendim. İsim ve kurumsal kimliği konusunda size hiçbir ipucu vermiyeceğim, sadece altyapısının çok sağlam olduğunu kurucularının geçmiş tecrübelerinden anladığım bu şirketin kurumsal kimliğini mass-ast yapıyor.
– Bugün de onlarca web açığı ile karşılaştık. Bunların etik yönlerini gelecek haftalarda incelemeyi düşünüyorum. Ama system adminlerinin uyudukları yerlerden artık kalkmaları ve çalışmaları gerektiğini düşünüyorumi. İşin en kötü tarafı koca ülkede herkesin işletim sistemini winnt dizinine, web sayfalarını ise inetpub dizinine koymaları. Bu kadar basit bir hata nasıl yapılır bilmiyorum.
– Bir de yeni çıkacak ürün. Bu gizli bir bilgi değil aslında ama yine de siz benden duymuş olmayın.Yeni bir mp3 player, 9 GB mp3 dosyası, kumanddalı ve arabaya takılabilir şekilde yapılmış harika bir ürün, gelecek hafta içinde Türkiye’de olacak
– Bu dijital kanallarda ki aldatmacaya dikkat edin. Aldığınız dijital kanal şirketinin gerçekten dijital yayın mı veriyor yoksa, size bir uydu üzerinden analog yayın mı izletiyor dikkat edin. Aldığınıza değsin. 300 e yakın analog kanal seyredeceğima 70 -80 dijital kanal seyretmeyi tercşh ederim. Zaten demassification dan o kadar kanalı seyretmek mümkün de olmuyor ki..
Haftanın Sayısı:
1.
Haftanın sayısı bir. 94 senesinde o zaman yazdığım bilgisayar dergisine ilk yazı olarak internet 2 projesini yazmıştım. Yıllar geldi geçti, internet bir tane ve tek olarak yoluna devam etti . Bir ikincisi olmadı. Hani eskilerin bir lafı var ya başka İstanbul yok diye.. Başka internet yok….

Leave a Comment

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir