Yazılım geliştirirken siber güvenliğin dikkate alınması gerekir, bu nedenle CISA ve FBI “Tasarımdan Güvenli” kampanyasını başlattı. Yetkililer, yazılım geliştirmedeki güvenlik açıklarından en baştan nasıl kaçınılacağına dair ipuçları topluyor. Şimdi sıra dizin geçişindeki güvenlik açıklarında.
Duyuru
PDF'de güvenlik açığının türüne ilişkin olarak yetkililer hiçbir suçlamadan kaçınmıyor. Giriş bölümündeki bir metin kutusunda şöyle yazıyor: “Yazılım endüstrisi bu kusurları nasıl ortadan kaldıracağını onlarca yıldır biliyor ancak dizin geçişleri, şu anda bilinen istismar edilen güvenlik açıkları kataloğunda listelenen 55 girişle en çok suiistimal edilen güvenlik kusurlarından biri olmaya devam ediyor.” Yazarlar, “Yirmi yıldan fazla bir süredir yazılım endüstrisi, dizin geçişindeki güvenlik açıklarını ve bunları önlemeye yönelik etkili yaklaşımları belgeledi” diye yazıyor.
Son olaylar nedeniyle Güvenli Tasarım bildirimi
Tasarımdan Güvenli uyarısı, Connectwise Screenconnect veya Cisco'nun Appdynamics Controller gibi yazılımlardaki dizin geçiş boşluklarının yakın zamanda siber suç kampanyalarında kötüye kullanılması nedeniyle yayınlandı. Saldırganlar böylece yazılım kullanıcılarının güvenliğini tehlikeye atarak sağlık sistemi de dahil olmak üzere altyapının kritik alanlarını etkiledi.
CISA ve FBI, yazılım satıcılarının yönetimlerini, ürünlerinin dizin geçişi güvenlik açıklarına karşı savunmasız olup olmadığını belirlemek için tesislerinde resmi testler uygulamaya çağırıyor. Ancak yetkililer, müşterilerin üreticilere resmi dizin geçiş testleri yapıp yapmadıklarını sormalarını tavsiye ediyor.
Dizin geçiş güvenlik açıkları nelerdir?
Bu güvenlik açığı türü, geliştiricilerin kullanıcının erişmesini amaçlamadığı uygulama dosyalarına ve dizinlere yetkisiz erişime izin veren parametrelerin veya dosya yollarının aktarılması gibi kullanıcı girişinin manipülasyonuna dayanır. Saldırganlar hassas dizinlere erişebildiğinden sonuçlar dramatik olabilir: dosyalara okunabilir, değiştirilebilir veya yazılabilir, hatta hepsine erişilebilir. Bu, hassas verilere erişime veya sistemin tehlikeye atılmasına izin verir.
Yazarlar kalın harflerle şunu yazıyor: Dizin Geçişi kötüye kullanımı başarılı oluyor çünkü teknoloji üreticileri kullanıcı girişini potansiyel olarak kötü amaçlı olarak ele almıyor ve bu nedenle müşterilerini yeterince koruyamıyor. Ancak basit ve iyi bilinen bir çare var. Yazılım geliştiricileri, girdi olarak kullanıcı tarafından sağlanan adları kullanmak yerine, her dosyaya rastgele bir kimlik atayabilir ve ilişkili meta verileri ayrı ayrı (örneğin bir veritabanında) depolayabilir. Veya bu mümkün değilse, dosya adlarında kullanılabilecek karakterleri (örneğin alfasayısal karakterlerle) sınırlayın. Ayrıca geliştiricilerin, yüklenen dosyaların yürütme haklarına sahip olmadığından emin olması gerekir. OWASP ayrıca ek yararlı bilgiler de sağlar.
Yazarlar daha sonra yönetime önceki Tasarımla Güvenli uyarılarında zaten okunabilen bilgileri tekrarlar. Örneğin, resmi kod incelemeleri yoluyla müşterilerinin güvenliğinin sorumluluğunu almalı veya güvenlik açıkları hakkında bilgi yayınlayarak şeffaflık yaratmalıdırlar. Mart ayı sonlarında FBI ve CISA, SQL enjeksiyonunda boşlukların nasıl önlenebileceğine dair öneriler sundu. Onlarca yıldır önemli bir rol oynamaya devam ediyorlar ve hala sıklıkla karşılaşılıyorlar.
(Bilmiyorum)
Haberin Sonu
Duyuru
PDF'de güvenlik açığının türüne ilişkin olarak yetkililer hiçbir suçlamadan kaçınmıyor. Giriş bölümündeki bir metin kutusunda şöyle yazıyor: “Yazılım endüstrisi bu kusurları nasıl ortadan kaldıracağını onlarca yıldır biliyor ancak dizin geçişleri, şu anda bilinen istismar edilen güvenlik açıkları kataloğunda listelenen 55 girişle en çok suiistimal edilen güvenlik kusurlarından biri olmaya devam ediyor.” Yazarlar, “Yirmi yıldan fazla bir süredir yazılım endüstrisi, dizin geçişindeki güvenlik açıklarını ve bunları önlemeye yönelik etkili yaklaşımları belgeledi” diye yazıyor.
Son olaylar nedeniyle Güvenli Tasarım bildirimi
Tasarımdan Güvenli uyarısı, Connectwise Screenconnect veya Cisco'nun Appdynamics Controller gibi yazılımlardaki dizin geçiş boşluklarının yakın zamanda siber suç kampanyalarında kötüye kullanılması nedeniyle yayınlandı. Saldırganlar böylece yazılım kullanıcılarının güvenliğini tehlikeye atarak sağlık sistemi de dahil olmak üzere altyapının kritik alanlarını etkiledi.
CISA ve FBI, yazılım satıcılarının yönetimlerini, ürünlerinin dizin geçişi güvenlik açıklarına karşı savunmasız olup olmadığını belirlemek için tesislerinde resmi testler uygulamaya çağırıyor. Ancak yetkililer, müşterilerin üreticilere resmi dizin geçiş testleri yapıp yapmadıklarını sormalarını tavsiye ediyor.
Dizin geçiş güvenlik açıkları nelerdir?
Bu güvenlik açığı türü, geliştiricilerin kullanıcının erişmesini amaçlamadığı uygulama dosyalarına ve dizinlere yetkisiz erişime izin veren parametrelerin veya dosya yollarının aktarılması gibi kullanıcı girişinin manipülasyonuna dayanır. Saldırganlar hassas dizinlere erişebildiğinden sonuçlar dramatik olabilir: dosyalara okunabilir, değiştirilebilir veya yazılabilir, hatta hepsine erişilebilir. Bu, hassas verilere erişime veya sistemin tehlikeye atılmasına izin verir.
Yazarlar kalın harflerle şunu yazıyor: Dizin Geçişi kötüye kullanımı başarılı oluyor çünkü teknoloji üreticileri kullanıcı girişini potansiyel olarak kötü amaçlı olarak ele almıyor ve bu nedenle müşterilerini yeterince koruyamıyor. Ancak basit ve iyi bilinen bir çare var. Yazılım geliştiricileri, girdi olarak kullanıcı tarafından sağlanan adları kullanmak yerine, her dosyaya rastgele bir kimlik atayabilir ve ilişkili meta verileri ayrı ayrı (örneğin bir veritabanında) depolayabilir. Veya bu mümkün değilse, dosya adlarında kullanılabilecek karakterleri (örneğin alfasayısal karakterlerle) sınırlayın. Ayrıca geliştiricilerin, yüklenen dosyaların yürütme haklarına sahip olmadığından emin olması gerekir. OWASP ayrıca ek yararlı bilgiler de sağlar.
Yazarlar daha sonra yönetime önceki Tasarımla Güvenli uyarılarında zaten okunabilen bilgileri tekrarlar. Örneğin, resmi kod incelemeleri yoluyla müşterilerinin güvenliğinin sorumluluğunu almalı veya güvenlik açıkları hakkında bilgi yayınlayarak şeffaflık yaratmalıdırlar. Mart ayı sonlarında FBI ve CISA, SQL enjeksiyonunda boşlukların nasıl önlenebileceğine dair öneriler sundu. Onlarca yıldır önemli bir rol oynamaya devam ediyorlar ve hala sıklıkla karşılaşılıyorlar.
(Bilmiyorum)
Haberin Sonu