Yazılımda Bir Mükerrer “goto” İfadesi Nelere Sebep Olabilir?

Google, Android Güvenlik Takımı tarafından geliştirilen ve adını “Şubat 2014’de iOS ve Mac OS işletim sistemlerinde ortaya çıkan ve belirli koşullar altında bir saldırganın şifrelenmiş bağlantının arasına girerek tüm trafiği okuyabildiği korunmasızlığa” [1] [2] nispet edercesine ‘nogotofail‘ (yani, ‘go to’ hatasına hayır) olarak adlandırılan, açık kaynak kodlu araç ile “kullanılan cihaz ve uygulamaların bilinen TLS/SSL korunmasızlıklara ve hatalı yapılandırmalara karşı emniyette olup olmadığını kolay bir şekilde anlamanızın sağlanacağı” belirtilmektedir [3].

Google tarafından yapılan açıklamada; “Android, iOS, Linux, Windows, Chrome OS ve OS X işletim sistemlerinde çalışabilen nogotofail‘de, ayarlamaları yapılandırmanızı ve Android ve Linux’ten bildirimler almanızı sağlayacak kullanımı kolay bir istemci bulunduğu ve ayrıca saldırı motoronun kendisinin bir yönlendirici (router), VPN sunucu veya vekil (proxy) olarak konuşlandırılabildiği” ifade edilmektedir.

Aracın, açık kaynak kodu ve diğer malzemelere GitHub’dan erişilebiliniyor [5].


1. Goto Fail, https://www.cs.columbia.edu/~smb/blog/2014-02/2014-02-23.html
2. CVE-2014-1266, Korunmasılık Özeti, http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1266
3. Introducing nogotofail—a network traffic security testing tool, http://googleonlinesecurity.blogspot.com.tr/2014/11/introducing-nogotofaila-network-traffic.html

4. google/nogotofail, https://github.com/google/nogotofail

Reklamlar

Bilgisayar Ağlarından Yazılıma: Bütüncül Siber Güvenlik Yaklaşımı

⇒ A Holistic Cyber Security Approach: from Computer Networks to Software¹


Adli Bilişim ve Güvenlik Sempozyum’u kapsamında sunduğum çalışmada siber güvenlikte iki ana odak noktası arasındaki farklar ortaya konulmaktadır: bilgisayar ağları ve yazılım veya uygulama güvenliği.

Tehditler uygulama katmanına yönelirken; savunma, genellikle bağlantı, internet ve nakliye katmanlarına doğru yoğunlaşır gözükmektedir. Bu çalışma, en son istatistiklerle doğrulanan söz konusu dengesizliğe işaret etmektedir: dünya çapında etkiye sahip olan son siber saldırılar ve hatta son zamanlarda Türkiye’deki gibi bilgi ve siber güvenlik literatüründe ve konferanslarında kapsanan konularda bu dengesizlik ortaya konulmaya çalışılmıştır.

Elazığ’da gerçekleşen 1. Uluslararası Adli Bilişim ve Güvenlik Sempozyumu‘nda yaptığım bildiriye ait yayınlanan makaleye aşağıdaki bağlantıdan erişebilirsiniz.

Sunum:

Siber Güvenlik Konu Başlıkları1 This study presents the differences of two main focus points on cyber security: computer networks and software or application security. While the threats are heading towards the application layer, the defense seems to mainly concentrate on link, internet and transportation layers. This study addresses the imbalance that is confirmed with the latest statistics: latest cyber attacks having worldwide impact, and even in the topics covered in information and cyber security literature and conferences like the ones in Turkey lately.

Okumaya devam et “Bilgisayar Ağlarından Yazılıma: Bütüncül Siber Güvenlik Yaklaşımı”