RSA güvenlik konferansı, her sene bilgisayarların ne kadar güvensiz olduğunu gösterip insanın moralini bozan bir etkinlik.
Konferans sırasında, bana şu anda güvenlikle ilgili bir web videosu hazırlamamda yardımcı olan bir güvenlik uzmanıyla tanıştım. Kendisi, çalışanların ziyaret ettiği web sitelerine yerleştirilip kurumsal ağları ele geçirebilen bir saldırı yöntemini tanıtırken, o kaçınılmaz soru aklıma geliverdi. Bu tehditten nasıl sakınabiliriz?
Yanıt tatmin edicilikten uzak olduğu kadar korkutucuydu da: Sakınamayız.
Bunun için tek gerçek çözüm bilinmeyen web sitelerinden uzak durmak. Bunlara,
kullanıcıların bilgi girmesine izin veren web 2.0 siteleri, örneğin Myspace
dâhil. Paranoya sınırında gezinen kullanıcılarsa tarayıcılarından JavaScript'i
kapatmalı. Bu yapılınca da çoğu yeni site devre dışı kalıyor. Ne yazık ki
JavaScript, geliştiricilerin gitgide daha güçlü çevrimiçi uygulamalar yazmasına
izin veriyor. Google daha şimdiden, JavaScript'le yazılmış gelişmiş metin
düzenleyiciler ve tablolama yazılımları sunuyor. Ama saldırganlar da tıpkı
solucanların, virüslerin ve Truva atlarının sıradan programlama teknikleriyle
yapıldığı gibi, bu yapıtaşlarını kullanarak zarar verebiliyor. Üstelik bu
çevrimiçi zararlıların tespiti sıradan kullanıcı için zor. Tanıtım sırasında,
güvenlik uzmanı JavaScript'le bir ağ koklayıcı (sniffer) yazmıştı. Bir Myspace
sayfasına ya da özel bir saldırı sitesine yerleştirildiği vakit, bu araç site
ziyaretçisinin geldiği ağa sızıp saldırgana ağ içindeki her bir sunucunun hangi
yazılımlarla çalıştığı bilgisini sağlıyor. Normalde kurumsal ağlar bu tarz
bilgileri
vermemek üzere kurulur ancak saldırı kodu ziyaretçinin bilgisayarından
yürütüldüğü için dış savunma yazılımları tarafından engellenmiyor. Bu tek başına
tehlikeli gözükmese de saldırgan bir sonraki aşamada henüz yamalarla
kapatılmamış güvenlik açıklarını kullanarak sistemi ele geçirebilir. Çevrimiçi
güvenlik meselesi de hızla gerçek hayattaki güvenliğe benzemeye başlıyor. Ön
kapıya kaç tane kilit vurduğunuzun hiç Önemi yok; aklına koyan yaman bir hırsız
daima içeri girecektir. Bir tüketici olarak size tek düşen, sağduyunuzu
kullanmak ve tehlikeli sokaklarda gezinmemek. Bu da çevrimiçi uygulamaların
geleceğine gölge düşürüyor. Eğer virüs bulaşma tehdidi varsa, rastgele Myspace
profillerine, bloglara yada Digg'e gönderilenlere hangi
kullanıcı tıklar ki?
Gerçek hayatta insanlara, ünlerine göre itibar ederiz. Web'de ise ün dediğimiz şey birkaç yüz seçkin web sitesiyle sınırlı. Eğer JavaScript tabanlı zararlı kodlar yayılmaya devam ederse, geriye kalan milyarlarca web sitesi, web'in karanlık ve güvensiz arka sokaklarına dönüşecek.
Kurnaz saldırganlar kurbanlarını ağlarına çekmek için sayısız yol buluyor. Az giyimli ünlülerin fotoğraflarını vaat eden çöp e-postalar eski de olsa kanıtlanmış bir yöntem. Çevrimiçi suçlular bazen de ucuz mal satan bir web mağazası kurup müşterilerin bilgisayarlarına virüs bulaştırabiliyor. Bilgisayar güvenliği, artık güvenlik duvarlarıyla ya da anti virüs yazılımlarıyla çözebileceğimiz bir sorun olmaktan çıktı. Canımızı sıkacak, keyfimizi kaçıracak çok şey var.