Bloatware Güvenliğinizi Şişirmesin

“Gölge bilişim” olarak adlandırılan ve bilgi sistemleri biriminin yönetimi dışında bulunan teknoloji unsurlarının oluşturabileceği tehlikeye daha önce değinmiştim. (Konuyla ilgili yazıma http://alperbasaran.com/gizli-dusman-golge-bilisim/ adresinden ulaşabilirsiniz) Bunun devamı olarak, geçen hafta çıkan kritik bir zafiyet tehdidin boyutu ve nasıl gözden kaçabildiği güzel bir örnek oluşturuyor.

Zipli veya sıkıştırılmış dosyalar iş hayatımızda sıkça kullandığımız yöntemler. E-posta ile gönderilmeyecek kadar büyük dosyaların iletilmesi veya belli derecede gizlilik sağlamak amacıyla zip veya winrar gibi programlar kullanılıyor.
Buna karşılık çok az kuruluşta lisanslı sıkıştırma programına rastlıyoruz. Konu sadece bize özgü de değil zaten, aşağıdaki karikatür birinin yanlışlıkla Winzip programını satınaldığında Winzip yönetim kurulunun sevincini gösteriyor.

Winrar, Winzip ve 7-zip dosya sıkıştırma ve sıkıştırılmış dosya okuma konusunda ilk akla gelen isimler. Bu yazılımları herhangi bir kuruluşun bilgisayarlarında hatta bazı durumlarda sunucularda görmek mümkün. Yazılım envanterimizi etkileyebilecek zafiyetleri düşündüğümüzde aklımıza zafiyet taramaları geliyor. Ancak zafiyet taramalarının gözünden kolayca kaçabilecek bir kaç önemli nokta var. Örneğin tarayıcı eklentileri bunların başında geliyor. Kullanıcı bilgisayarlarının tarayıcılarında bulunan eklentiler ve bu eklentileri etkileyen zafiyetler Nessus veya benzeri bir zafiyet programını çalıştırdığınızda kolayca gözden kaçabilir. Aynı şekilde PDF dönüştürücüleri ve diğer yardımcı programlar da zafiyet taraması yazılımı tarafından görülmeyebilir.

7-zip yazılımını etkileyen kritik bir zafiyet, saldırganların (veya zararlı yazılımların) sistem üzerinde o kullanıcının yetkileriyle komut çalıştırmasına imkan vermektedir. (7-zip kullanıyorsanız 18.05 sürümüne yükseltmeniz gerekiyor).

Bu olaydan çıkartılabilecek bir kaç önemli ders var:

Envanterinizi bilin
Kuruluşunuzun sistemlerinde yüklü uygulamaların ayrıntılı bir listesini oluşturun ve bunu güncel tutun. Bu aşamada PDF dönüştürücü, tarayıcı eklentileri, VPN bağlantı yazılımlarını, yazıcı sürücü yazılımlarını ve dosya sıkıştırma programlarını da dikkate alın.

Uygulama yetkilerini denetleyin
Bu olayda düşük yetkili kullanıcılar tarafından kullanılan programların yönetici yetkileriyle çalışan kullanıcılara göre daha düşük bir risk oluşturacağı görülmektedir. Bu nedenle herhangi bir program kurarken bunun programın çalışabilmesini sağlayacak asgari yetkilerle yapılması çok önemlidir.

Zafiyet taraması sürecinize yardımcı programları dahil edin
Zafiyet tarama yazılımlarının sınırlarını aklımızda tutmakta fayda var. Bunlar ağ üzerinde açık gönderilen parolaları veya istemciler üzerinde yüklü olan bazı programları gözden kaçırabilirler. Bu nedenle zafiyet taraması çalışmalarında sadece program çıktıları ile yetinmeyip kuruluş genelinde kullanılan yazılımlar için bilinen bir zafiyet olup olmadığını da ayrıca araştırmakta fayda var.

Gereksiz programlardan kurtulun
Eski yazıcı markanıza ait sürücü yazılımı veya kullanılmayan ama bilgisayarı aldığınızda üzerinde yüklü gelen yazılımları kaldırın. Bilgisayarların üzerinde hazır kurulu gelen yazılımlar için İngilizce’de “bloatware” ifadesi kullanılır. Bloat şişkinlik anlamındadır ve bu programların, çoğu durumda, diskte yer kaplamak veya işlemci kapasitesinden çalmak dışında yaptıkları çok bir şey olmadığını hatırlamak gerekir.