Ana Sayfa | Servisler | Akademi | Güvenlik Açıkları | Bağlantılar| Servis Yaklaşımı | Referanslar | Basında Biz | Kaynaklar | İletişim
 


Sıradaki Felaket ?

“Kırmızı Kod, SQL Slammer ve Sonrası” veya
“Bilişim Güvenliğinde Derin Uyku ve Sonuçları” 

Konu:

Microsoft SQL Veritabanı sistemlerindeki bir güvenlik açığını kullanan ve “Slammer” adı verilen bir kurtçuk 25 Ocak Cumartesi günü erken saatlerden itibaren dünyanın pek çok yerinde Internet altyapısında ciddi problemlere sebep oldu. Söz konusu kurtçuğun aylar öncesinden Microsoft tarafından çözülmüş bir açığı kullanıyor olması bilişim güvenliği alanında dünya çapında pek çok kurumsal kullanıcının yeterli önceliği vermediğini ve gerekli çabayı sarf etmediğini göstermektedir.

İlgilendiren Sektör ve Şirketler:

  • Tüm Internet Kullanıcısı Kişi ve Kuruluşlar
  • MS SQL 2000 Server ve Microsoft SQL Server Desktop Engine (MSDE) kullanıcıları
  • İçinde gömülü olarak MSDE kullanan pek çok diğer Microsoft veya Microsoft dışındaki yazılım kullanıcıları

1. Konu

Internet’in pek çok bölgesindeki trafik 25 Ocak Cumartesi günü erken saatlerde önemli ölçüde yavaşladı ve yine Cumartesi günü ilerleyen saatlerde hızla yayılan bir kurtçuk etkinliğine bağlı olarak dünyanın pek çok yerinde Internet ve ona bağlı servisler önemli ölçüde aksadı, ana Internet omurgalarında ciddi tıkanmalar neticesinde web servislerinin izlenmesi ve eposta trafiğinde aksaklıklar meydana geldi Bu boyda bir etkinin gözlendiği bir önceki saldırı 2001 yılı yaz aylarındaki Kırmızı Kod virüsünün ortaya çıkışıyla yaşanmıştı.

Microsoft’un dünya çapında yaygın olarak kullanılan “SQL server” ürününde bulunan bir güvenlik açığını kullanarak yayılan bu virüs-benzeri kurtçuk, girdiği sistemlerden yeni sistemlere yayılmak için o kadar yoğun bir şekilde trafik yaratıyordu ki, sistemlerin kullandığı veri trafiği kapasitelerini tüketti. Bu enfeksiyonun dünya ölçeğinde yayılmasıyla, veri trafiği kapasitesinin tüketilmesi problemi de büyük boyutlara ulaştı ve normal Internet servislerinin verilebilmesi için gerekli veri aktarım kapasitesi yer yer tamamen tüketilmiş oldu. Örneğin Güney Kore’deki servis sağlayıcıların tamamı hizmet dışı kaldı ve “Bank of America” ve “Canadian Imperial Bank of Commerce” in ATM makineleri bir süre servis dışı kaldı.

Bu kurtçuk aracılığı ile gerçekleştirilen saldırının Haziran 2002’de Microsoft’a rapor edilmiş ve Temmuz 2002 tarihinde çözümleri Microsoft tarafından çözülmüş bir açık kullanılarak gerçekleştirilmiş olması bilişim güvenliği alanına dünya çapında pek çok kurumsal ve bireysel kullanıcının yeterli önceliği vermediğini ve gerekli çabayı sarf etmediğini göstermektedir.

2. Açıklama

Bu tür olayların bu hasar seviyesinde tekrar etmemesi için çeşitli dersler çıkarılmasını gerektirmektedir. Etkileri tüm dünya tarafından hissedilen bu kurtçuk saldırısının, aylar öncesinden tespit edilip çözümü yayınlanmış bir güvenlik açığı nedeniyle meydana gelmiş olması göstermektedir ki :

  • Pek çok sistem yöneticisi sistemlerindeki güvenlik problemlerini yeterince önemsememekte, yayınlanan güvenlik yamalarını bile yeterince takip etmemekte ve bir disiplin içerisinde uygulamamaktadır.
  • Microsoft SQL Server yamaları yüklemesi zor yamalar olduklarından, pek çok sistem yöneticisi tarafından zaman yokluğu veya diğer nedenlerle uygulanmamaktadır.
  • Güvenlik duvarları pek çok kuruluş tarafından doğru olarak kullanılmamakta ve gereksiz bazı iletişim noktaları erişime açık durumda bırakılmaktadır. Örneğin, SQL Server sistemleri Internet’e bağlanırken UDP 1434 portu gibi bağlantı noktaları erişime kapatılmamaktadır.
  • Bir çok kuruluş “Microsoft SQL Server Desktop Engine (MSDE)” ürünü gerektiren yazılımları Internet uygulamalarında kullanmakta ancak kurdukları MSDE ürününün de risklerinin takip edilmesi ve yamalanması gerektiğini bilmemektedirler.

3. Çözüm

Söz konusu saldırının gerçekleştiği güvenlik açığından kurtulmak için Microsoft’un aylar önce yayınladığı yamayı veya bunu da içeren "SQL 2000 Service Pack 3 servis paketini sistemlerinizde uygulayın ve sisteminizi yeniden başlatın. Ayrıca güvenlik duvarınızdan UDP 1434 bağlantı noktasının kapalı olduğunu kontrol edin.

Ancak bunun ötesinde, bilişim güvenliğinizi daha temelden gözden geçirmeniz gerekmektedir. Bunun için:

  • Hangi sistemlere sahip olduğunuzu tam olarak bilmeli ve bunun bir envanter dökümünü sürekli güncel tutmalısınız. Burada, çeşitli yazılımları ile birlikte gelen MSDE gibi gömülü veya çok bilinmeyen yazılımlara da dikkat edilmelidir.
  • Bilişim envanterinizdeki bu sistemlerin özellikle güvenlik yamalarını düzenli olarak takip etmelisiniz. Yayınlanan güvenlik yamaları belirli bir disiplin içerisinde sisteminizde mutlaka uygulanmalıdır.
  • Bilişim güvenliğini ilgilendiren yukarıdaki envanter ve güvenlik yamalarının uygulanması gibi ilgili tüm konuları belirli bir disiplin dahilinde kontrol altında tutabilmek ve yönetebilmek için kurumsal teknoloji kullanıcılarının mutlaka bir güvenlik politikası hazırlamaları gerekmektedir.
  • Boyu ve sektörü ne olursa olsun her kurum ve kuruluş sahip olduğu bilgi işlem altyapısının güvenliğini denetletmeli ve varolan, gözden kaçmış olabilecek güvenlik açıklarını tespit etmeli ve çözmelidir.

4. Sonuç

Güvenlik problemleri ile meydana geldikçe, teker teker başa çıkamazsınız. Kuruluşlar ancak bir güvenlik politikası hazırlayıp güvenlik problemine ilişkin bir yönetim sistemi kurarak olabilecek güvenlik kayıplarını ve maliyeti en aza indirebilirler.

Güvenlik denetimi sadece çok parası olan birkaç büyük şirketin karşılayabileceği çok pahalı bir servis değildir. Sisteminizin boyutuna göre fiyatlandırılan bir güvenlik denetimi ve bunu takip ederek uygulanacak temel bazı önlemlerle daha büyük güvenlik kayıplarından korunabilirsiniz.

Sistemlerinizdeki güvenlik problemlerinin denetlenmesi ve giderilmesi sadece kendinizi ilgilendiren bir sorumluluk değil, sizin uğrayacağınız bir kayba bağlı olarak etkilenebilecek müşteri ve tedarikçilerinizin yanı sıra ağ komşularınızın, ülkenizin ve dünyanın güvenliği için de bir zorunluluktur.

Referanslar:

InfoSecure Web Sitesi - http://www.infosecurenet.com

Microsoft Güvenlik Duyurusu ve Güvenlik Yaması
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp

Next Generation Security Software SQL Server Duyurusu
http://www.nextgenss.com/advisories/mssql-udp.txt

SQLSecurity.com Web Sitesi - http://sqlsecurity.com

 

 

 

 

 

 
Sorun Söyleyelim 

Kurumsal güvenlik kullanıcıları, güvenlik ile ilgili her sorunuzu cevaplıyoruz. 
  


Türkiye'de
En Sık Görülen
10 Güvenlik Açığı  InfoSecure'un Türkiye'de en sık rastladığı güvenlik açıkları, tespit etme ve giderme yolları.

  


  

Güvenlik Yönetiminde Sık Rastlanan Hatalar
Kurumsal güvenlik yönetiminde yapılan en yaygın hatalar ve çözümleri.
  
 

Ana Sayfa | Güvenlik Servisleri | Güvenlik Eğitimi | Güvenlik Açıkları | Bağlantılar
InfoSecure Yaklaşımı | Referanslar | Basında Biz | Kaynaklar |İletişim
 

© InfoSecure Güvenlik Denetim ve Danışmanlık Servisleri, 2002.