Yazılım Güvenliği: Neden Veri ve Kodları açık kaydediyoruz?


Veri ve Smart Contract’lar açık kaydediliyorsa BlockChain güvenli değildir. Şifreli kaydediliyorsa BlockChain’e gerek var mıdır?

Yazılım güvenliği için yapmadığımız şey yok; antivirüsler, güvenlik duvarları, internet güvenliği, yedekleme, blockchain derken.. güvenlik için sürekli yeni çözümler geliştiriyoruz.

Ancak gelişmelere bakacak olursak; GitHub’ta ve Devops’ta kodlar varsayılan olarak açıktır. SQL Server’da ve MongoDB’de veriler varsayılan olarak okunabilir kaydedilir.

Böylece kullanıcı adı ve şifremizi ele geçiren hackerler, ya da işletim sistemini ele geçiren hackler verileri ve kodları alabilir ve kullanabilir. Kişisel verileri kolaylıkla satışa çıkarabilir ve kodlarımızdaki güvenlik açıklarını tespit edebilir.

Madem ki güvenlikten bahsediyoruz, neden kodlar ve veriler varsayılan olarak şifreli kaydedilmiyor? SQL sorgularımız ve işletim sistemlerimiz neden Encrypt/Decrypt gömülü olarak çalışmıyorlar?

Sizce verilerin ve kodların kurumumuza özel algoritmalarla şifreli olarak kaydedilmesi, sızıntı durumlarında güvende olmamızı sağlamaz mı?

İsterseniz Şifreleyebiliyorsunuz

Encryption At Rest ve BitLocker gibi özellikler var. Evet. Ama bunlar by default pasif olarak geliyorlar. Ayrıca kullanıcı adı-şifre ele geçirilince sistem hala açık. Sistemin çalışırken de kapalı ve şifreli olarak çalışması gerekmez mi?

Yani SQL Server’da Encrytion At Rest yaptınız diyelim ama Management Studio ile SQL Server’a bağlandığınızda verilerin yine açık olduğunu göreceksiniz. SELECT * FROM TableName dediğinizde veriler açık olarak gelir.

Veya GitHub’ta kodlarınız açık olarak kaydedildiğinden GitHub’ın sahibi Microsoft’la tüm kodlarımızı paylaşmış oluruz. GitHub şifremiz ele geçirilirse bir hacker’ın (ya da yapay zekanın) sessiz sedasız yazılımımızdaki güvenlik açıkları tespit edip etmediğinden emin olamayız.

Halbuki by default herşey şifreli olarak kaydedilseydi ve sadece izin verdiğim kullanıcılar decrypt edebilseydi, ortam daha güvenli olacaktı. Şifreleme algoritmaları pluggable olsaydı ve ben kurumuma özel algoritma kullanabilseydim, kurumumun verileri ve kodları daha güvende olacaktı. Güveniyorum çünkü güvenlik algoritmam sağlam diyebilecektim.

İnternette güven kırıldı, bozuldu. Telefonlar ve bilgisayarlar kolaylıkla hacklenebiliyorlar. Blockchain’in ve kriptoparaların sıcak cüzdanları da bu yüzden güvenli değil. Ama işletim sistemleri, veritabanları, depolama cihazları ve kod depolama sistemleri varsayılan şifreli kaydetse ve sadece izin verdiğim kullanıcılar decrypt edilmiş veriye hatta o verinin de sadece bir kısmına ulaşabilseler daha güvenli bir dijital dünya geliştirebiliriz.

Standart blockchain tanımında da veri açık kaydedilir, açık veri sızıntılara davetiye çıkarır unutmayın. HyperLedger Fabric’te olduğu gibi pluggable güvenlik algoritmalarını kullanarak blockchain üzerindeki veriyi, ayrı olarak kaydettiğimiz big datayı, storageları, geliştirme kodlarını ve smart contractlarımızı kurumumuza özel şifreleme algoritmalarıyla şifrelemediğimiz sürece sızıntılara karşı güvende değiliz.

Mutlu kodlamalar 🙂

Posted in Genel

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s