Yazılım Geliştiricileri Anketi

Birkaç hafta önce bir araştırmacımız, DNS Rebinding denilen bir istismar yöntemini kullanarak çalışma yaptı. Bu yöntemi kullanarak, bir güvenlik duvarının ardında barındırılan savunmasız web uygulamalarına saldırmayı başardı. Gerçekte yaptığı şey network güvenlik duvarının üzerinden dolaşmaktı ki biz buna bypass diyoruz.

Peki bunu nasıl başardı?

Bahsettiğimiz saldırı hakkında daha detaylı bilgi almak için Geliştiricilerin Bilgisayarlarında Bulunan Savunmasız Web Uygulamaları Hacker'ların Kurumsal Güvenlik Duvarlarını Atlatmalarına Neden Oluyor başlıklı yazımızı okuyabilirsiniz. Ayrıca Netsparker araştırmacısı Sven’in web uygulamalarındaki zafiyetleri exploit ederek güvenlik duvarlarını atlatmaya dair yaptığı canlı demoyu da bu linkten izleyebilirsiniz.

Açıkcası Swen’in gerçekleştirdiği bu saldırı yöntemi bizi, kim bilir kaç işletmenin bu tarz saldırılara karşı savunmasız olduğunu düşünmeye itti. Her yazılım geliştirici ve güvenlik araştırmacısının; mutlaka kendi test ortamında bu tarz saldırılara karşı savunmasız henüz tamamlanmamış web uygulaması vardır. Bu ihtimali ve her gün karşılaştığımız hacking haberlerini göz önünde tutarak bir anket yapmaya karar verdik. Böylelikle geliştiricilere yönelteceğimiz sorularla kurumların saldırıya açık olma düzeyleri ve en büyük hedefin kim olduğuna dair bir fikir edinebileceğiz. Ne dersiniz ilginç bir konu değil mi? Hadi başlayalım. Şaşırtıcı verilere dalmadan önce yaptığımız anket sonucunda ortaya çıkan “web geliştiricileri” hakkındaki bazı demografik istatistiklere göz atalım.

Grafiklerin üzerlerine tıklayarak daha büyük görmek mümkün olacaktır.

Web Geliştiricileri Demografisi

Şaşırtıcı verilere dalmadan önce yaptığımız anket sonucunda ortaya çıkan web geliştiricileri hakkındaki bazı demografik istatistiklere göz atalım.

Yaş

Cinsiyet

Çalışma Durumu

Bulundukları Sektörler

Web Geliştiricilerine Yöneltilen Sorular

Şaşırtıcı verilerin başladığı nokta burası. Şu açık sorudan başlayalım:

Bilgisayarınızda ya da test ortamınızda bir web sunucusu (LAMPP / XAMPP / IIS vb.) çalıştırıyor musunuz?

Doğrusunu söylemek gerekirse beklentimiz, geliştiricilerin tamamına yakınının bu soruya evet cevabını vermesiydi.

Web sunucunuzu genellikle güncel tuttuğunuzu söyleyebilir misiniz?

Bu soruyu sorduğumuz geliştiricilerin %89.1’inin web sunucusu yazılımı güncel tuttuğunu bilmek güzel. Oranlar gerçekten beklenen seviyede.

Eğer varsa, test ortamınız için aşağıdakilerden hangisinin söylenmesi doğru olur? (Uyanların hepsini seçin)

Verilerin ilginçlikten çıkıp korkunç bir hal almaya başladığı sorudayız. Anket yaptığımız geliştiricilerin yarısından fazlasının kendi bilgisayarlarında savunmasız veya henüz tamamlanmamış web uygulamalarını çalıştırdığını görüyoruz. Aslında durumu kötüleştiren bu değil. Çünkü test ortamları bu iş için var. Fakat bu ortamların %55,4’ünün internete direkt olarak bağlı olması ürkütücü. Bu da bu bilgisayarlara erişimi gerçekten çok kolay yapıyor, ki böyle sistemler, script-kiddie’ler için dahi hedef haline gelebiliyor.

Yukarıdaki veriler ayrıca bize her iki işletmeden birinin saldırılara açık olduğunu göstermektedir. Saldırganlar, yazının başında bahsettiğimiz yöntemlerle kurumsal güvenlik duvarlarını atlatabilirler.

Eğer varsa, aşağıdaki zafiyetlerden hangisi, seçimlerde gerçekleşebilecek hacking olayları bakımından hükümetleri riske atar? (Uyanların hepsini seçin)

Seçimlere şaibe karıştırılması ihtimaline dair çok şey söylendi. Fakat bu şaibe ihtimaline yol açan şeyin ne olduğuna dair hiçbir şey söylenmedi. Anket gerçekleştirdiğimiz geliştiricilerin en fazla söylediği üç şey: IT uzmanı eksikliği, güncel ve güvenli olmayan seçim sistemleri ve politikacıların bunun bir problem olduğunu düşünmemesi.

Demokratik hükümetler, seçim sistemine yapılacak bir hacking saldırısına karşı kendilerini güvene almak için, eğer varsa, aşağıdaki hazırlıklardan hangisine katlanmak zorundadır? (Uyanların hepsini seçin)

Eğer varsa, aşağıdaki kaygılardan hangisinin kurumların siber güvenliği ciddiye almasını engellediğini düşünüyorsunuz? (Uyanların hepsini seçin)

Geliştiricilerin %57,4’ünün yöneticilerinin IT’den anlamamasını söylemesi gerçekten çok ilginç. Bu gösteriyor ki birinin yöneticilik yeteneklerinin iyi olması IT işlem ve departmanlarını da iyi yöneteceği anlamına gelmiyor.

Bir veri sızdırılması olayında şirketler aşağıdaki işlemlerden hangisini gerçekleştirmeli? (Uyanların hepsini seçin)

Her ne kadar küçük bir orana sahip olsa da geliştiricilerin %6,9’u, şirketlerin hack olaylarını gizlemesi gerektiğini savunuyor.

Saldırıya açık en savunmasız sektörler aşağıdakilerden hangileridir? (Uyanların hepsini seçin)

Yakın zamanda gerçekleşen aşağıdaki hacking olaylarından hangisi en yenilikçisidir? (Uyanların hepsini seçin)

2017’nin geri kalan döneminde, aşağıdakilerden hangisinin hacklenme riski altında olduğunu düşünüyorsunuz? (Uyanların hepsini seçin)

Bu Anketten Neler Öğrendik?

Bu tür sonuçların çıkmasını bekliyorduk. Fakat her zaman olduğu gibi bundan da çıkarabileceğimiz bazı fikirler mevcut:

• Web geliştiricilerinin yarısından fazlası saldırıya açık ya da tamamen bitmemiş uygulamaları kendi test ortamlarında çalıştırıyorlar. Bu demektir ki işletmelerin yarısından fazlası çeşitli saldırılara karşı savunmasız.
• En büyük hedefler, siyasi partiler ve hükumetler (politik sebepler, hacktivism vs). Bu yapılar söz konusu siber güvenlik olduğunda oyunu kuralına göre oynamaları gerekiyor.
• Yönetimdeki insanların bu süreçlere daha fazla dahil olması ve daha fazla bilgi edinmeleri lazım. Kısacası eğitim şart.
• İşletmenize yapılan bir hacking saldırısında her zaman hukuki süreci başlatın, tehdidin boyutunu ayrıntılı bir şekilde belirleyin ve gerekirse bir adli bilişim uzmanı istihdam edin. Sakın saklamaya çalışmayın. İşletmenizin prestijini düşünüyor olsanız bile, emin olun ki geri tepecektir.
• Web geliştiricileri, hükumetlerden sonra en büyük hedefin finans sistemleri, medya, sağlık hizmetleri ve üretim işletmeleri olduğunu düşünüyor ki gerçekten haklılar.
• Akıllı ev teknolojileri, web uygulama ve servisleri, bağlantı kurulabilen arabalar gelecekte büyük tehdit altında olacaklar.