Güvenlik Uzmanları Web 2.0 Konusunda Uyarıyor

Her ne kadar Web 2.0 uygulamaları geliştiricilerden oldukça fazla rağbet görse de ve her geçen gün daha fazla kurumsal anlamda kullanılsa da, güvenlik uzmanları bu uygulamaların ciddi bir tehdidi de beraberinde getirdiğinin ve bu tehdidin işletmeler çok daha kapsamlı korunma yöntemleri talep etmediği sürece ortadan kalmayacağının altını çiziyorlar.

Bu konu 1 Kasım'da Reston Virginia'da düzenlenen New New İnternet konferansının ana temalarından birisiydi. Konferanstaki bir panelde güvenlik uzmanları dinleyenlere Web 2.0 uygulama geliştiricilerin uygulamalarını güvenli hale getirecek araçlardan yoksun olduklarını anlattılar. Bu sorun IT yönetiminden çok daha ciddi boyutlarda bir talep gelmezse çözüleceğe de benzemiyor.

Intel Corp.'un güvenlik çözümleri sorumlusu Steve Orrin "Sağlayıcılarınız ve geliştiricileriniz üzerinde baskı kurun," diyor. "Uygulamalarınızda mutlaka güvenlik özelliklerini arayın ve yoksa talep edin. Zira siz talep edene dek geliştiriciler ve sağlayıcılar bunu bir gereksinim olarak görmeyeceklerdir."
Panelistler bu sorunun kaynağı olarak yeni Web uygulamalarında ve Web hizmetlerinde kullanılan alt teknolojilerin çoğunun daha başlangıçta uygun bir biçimde güvenliğe alınmamasını görüyorlar.

Orrin "Henüz Web 1.0'ın güvenliği sağlanmamışken hemen ileri atılarak Web 2.0 teknolojisini geliştirmeye başladık," diyor. "Şimdi karşılaştıklarımız ise daha öncelerde kullanılmış olan bazı saldırı yöntemlerinin geliştirilmiş halleri." Örneğin Cross-site scripting, Orrin'e göre Web 2.0 ortamında kullanıldığında çok daha güçlü bir hal alıyor. "Web 2.0 teknolojisi geliştiriciler ve kullanıcılar için ne kadar güçlü bir gereç ise saldırıda bulananlar için de o denli hatta daha da güçlü bir gereç."

Orrin bu durumun özellikle de phishing saldırısı tarzındaki saldırılar için geçerli olduğunu söylüyor. "Web 2.0 ile kullanıcıları kandırmak çok daha basit hale geldi. Öyle ki saldırının gerçekleşmesi için artık kullanıcının bir şeyler yapması dahi gerekemeyecek hale gelindi."

Araştırma ve mühendislik devi Science Applications International Corporation (SAIC) firmasının şef güvenlik teknolojisi çalışanı Hart Rossman da bu görüşlere katılıyor. Rossman güvenlik uzmanlarının bazı Web 2.0 uygulamalarını olası güvenlik açıkları için tset ederken yaşadıkları zorluklara dikkat çekiyor.
Rossman "AJAX seksapalitesi açısından en çok tercih edilen silah ancak şu anda kullanılan açık değerlendirme gereçleri AJAX sitelerini takip etmekte sorun yaşıyorlar ve dolayısıyla da açıkları tespit etmek gittikçe zorlaşıyor," diyor. "Oturumları aynı kolaylıkta tekrar yaratmanız mümkün değil bu yüzden de eğer bir şey söz konusu olursa analiz edilecek verilerini oluşturmak çok zor hale geliyor."

Rossman'a göre insanlar her ne kadar insanlar walled garden (kapalı bahçe) yapısına karşı baş kaldırsalar da, ironik olarak pek çok sosyal network'ün uygulama programlama ara-yüzlerinin içe dönük doğası, bazı saldırıların bu ara-yüzlerden diğer platformlara sıçramasına da engel oluyor. "Çoğu sosyal network sitesi walled garden yapısındadır, ancak yine de bu yapı kendi içinde kalacak uygulamaları geliştirmeye olanak tanımaktadır."

Rossman yukarıda bahsi geçen bu gerçeğin bazı atakların daha yaygın hale gelmesini önlediğini söylemekle birlikte, widget adı verilen küçük araçların ve MySpace gibi sitelerde yer alan diğer dış bileşenlerin kullanımında yaşanan artış daha geniş çaplı networkler arası saldırılar düzenlemek isteyen kişilerde “Web 2.0 üstüne Web 2.0” anlayışını öne çıkartıyor.

Orrin "Sosyal networkler Flash kurtçuklar için adeta bir üreme alanı oluşturdular," diyor. Orrin geçtiğimiz Aralık ayında kullanıcı profillerine saldırarak onları phishing sitelerine yönlendirmek üzere tekrar düzenleyen MySpace QuickTime kurtçuk saldırısına dikkat çekiyor. "Sadece bir gecede bir videoyu yükleyerek bu videoyu görüntüleyen 1 milyon kişi virüs saldırısına maruz kalmıştı."

Belki de daha ironik olan ise bu konferanstan sadece bir gün önce Google ve bir dizi sosyal network sitesi kendi sitelerinde ortak API'lar geliştirmek üzere bir ortaklık anlaşması imzaladıklarını duyurmaları oldu.

Eğer Rossman'ın "walled garden" teorisi gerçeği yansıtıyorsa, aralarında endüstride yer alan en büyük firma olan MySpace'in de yer aldığı henüz yeni ortaklık anlaşması yapmış olan söz konusu sosyal network siteleri bu sitelerin şu anda sahip olduğu izole korunma ortamına kendi kendilerine bir son verebilir ve bir sitede karşılaşılan bir sorunun diğer bir siteye taşınma riski de artar.
1 Kasım'da düzenlenen panel sosyal networklerin üzerine kurulduğu temelin doğası gereği sahip oldukları zarar olan yabancılarda güven yaratma konusuna da dikkat çekti.

Üçüncü şahıs bir ticari sigorta şirketi olan BuySAFE firmasının yönetim kurulu başkanı Jeffery Grass, eBay üzerinden gerçekleştirilen ve yüzde 90 oranında pozitif ratinge sahip tüccarlardan alım yapan kullanıcılar arasında gerçekleştirilen bir anketin sonuçlarını ortaya koydu. Söz konusu ankete katılan kullanıcıların yarısından fazlası, “gönderim ücretinin fazla alınması, kullanma talimatlarının doğru olmaması vb. nedenlerle” kendilerini bir kandırmaca kurbanı olarak görüyorlar.

Grass "Web 2.0 çok fazla bağlanırlık yaratmakta," diyor. "Web 2.0 diğer bir şahıs ile çok daha güvenilir bir işlem yaratılmasına yardımcı oluyor. Ancak aynı zamanda şöyle bir risk de yaratıyor: Güvenilir işlem yaptığınız şahısın güvenilir birisi olup olmayacağını nereden bileceksiniz?"

Orrin ve Rossman güven meselesinin mash-up ve add-on bileşenler alanına dek uzandığını belirtiyorlar. Rossman "İnsanlar mash-up geliştiricilerine güvenmeme eğilimdedirler," diyor. "Bunun yerine güvenlerini API sağlayıcısına duyarlar. Ancak mash-up'ın kendisi hakkında durup da düşünen çok az kişi var."