Hacking tarihine bakarsanız eskilerde ataklar genel verilen hizmetin zayıflıklarında doğar ve gelişirdi. Yani atıyorum; bir zamanlar kimse Cross-Site Scripting gibi kullanıcıyı etkileyen zayıflıkları aklının ucundan bile geçirmezken, uzaktan kod çalıştırılabilecek her türlü zayıflık ağızları sulandırırdı.

Bunun sebebi tabii ki hem istemci tabanlı atakların istemci etkileşimi geçirmesi, hem yapılmak istenenlerin pratik şeylerin olmaması, stabil olarak yapılabileceklerin sınırlı (duruma göre sınırsız!) olması gibi sebeplerdir. Yine örneğimiz XSS olacaksa, Same-Origin Policy sebebiyle browser üzerinde bile tam hakimiyetiniz yoktur ve yapılabilecekler aslında sınırlıdır. Fakat kullanıcı clipboard'unda internet bankacılığı sisteminin parolasını tutuyorsa o saldırıdan belki de maximum verimi elde edebilirsiniz.

Web 2.0 standartları, kullanıcı etkileşimli uygulamaların artması, masaüstü uygulamalardan web uygulamalarına geçiş vs derken artık istemci güvenliği de iyice önemli hale geldi. Yine basit bir örnek vermek gerekirse, kullanıcı girişi olmayan bir sitede reflected bir XSS bulsanız ne olur, bulmasanız ne olur. Ama artık insanlar RSS feed'lerini, ofis uygulamalarını, instant messaging,maillerini,favori listelerini, arşivlerini,günlüklerini kısacası hayatlarını artık internet üzerinde devam ettiriyorlar. Bu da atak yüzeyini arttırıyor, atakları daha etkili ve verimli kılıyor.

Başlarken dediğim gibi, istemci güvenliği sunucu güvenliğine göre daha sonralarda akıllara geliyor. Wireless güvenliği için de aynı şey söylenebilir. Netekim hayatında bir iki defa WLAN kurmuş, bu işten 50 gr anlayan insan WEP yerine WPA kullanılması gerektiğini bilir fakat Sahte Erişim Noktası (Rogue Access Point) ataklarından haberi olan insan sayısı azdır. Bu blog postunu okuduktan hemen sonra bu durumu iş yerinizin bulunduğu plaza itibariyle test ederseniz muhtemelen bulabileceğiniz WLAN sayısı çok azdır, fakat evinde wireless kullanan ve "Otomatik Bağlan" seçeneğini işaretleyen kişilerin sayısı tümleyen oranda çoktur ve saldırıya hazır şekilde beklemektedirler.

Responses[1]

Posted by Mesut TİMUR on April 13, 2008 1:46:18 PM EEST#