02 Mayıs 2006

En kritik 20 güvenlik açığı yayınlandı

SANS Institute internetteki en önemli güvenlik açıklarını Top 20 listesi adı altında yayınladı. Çeşitli yazılım ürünlerindeki açıkları tespit eden bu çalışma, internetten yapılan saldırılarda kullanılan açık türleri hakkında ayrıntılı veriler sağlıyor. Dört yıl önce de FBI, internetteki en kritik 10 açığı raporlamış ve birçok kuruluş çalışmalarında bu rapordan ciddi ölçüde faydalanmıştı. İki yıl sonra bu raporda 20 güvenlik açığı ele alınarak tekrar güncellendi. SANS Institute ise geçen yıldan başlayarak, sürekli güncellenen Top 20 adıyla etkin bir liste hazırladı. SANS Institute, dünya çapında bilişim güvenliği kanusunda sertifika ve eğitimleriyle tanınan bir kuruluş ve kendi portalinde her yıl yaklaşık dünya çapında 12 bin kişiyi güvenlik konusunda eğittiğini belirtiyor.

Top 20, OS/X işletim sisteminden açık kaynak kodlu Mozilla Firefox web tarayıcılarına kadar birçok işletim sistemi ve uygulamada rastlanan açıklar konusunda grubun web sitesinde ayrıntılı bilgiler yer alıyor. CIO dergisinin verdiği habere göre SANS Top 20’nin editörü ve 3Com’un TippingPoint bölümünün güvenlik araştırmaları yöneten Rohit Dhamankar, Mozilla Firefox’un açıklarını yeni yamalarla hızla giderdiğini, Microsoft’un ise Internet Explorer’daki açıkları kapamayı sağlayan yama yazılımları konusunda biraz yavaş kaldığını söylüyor. Ayın ikinci haftasına kalan yama yazılımları güncellemeleri nedeniyle Internet Explorer’ı espriyle Internet Exploiter olarak adlandıran Dhamankar, internetten gelecek saldırıların son derece yoğunlaştığı şu günlerde bazen dakikaların önemli olduğunu anımsatıyor.

Bu arada SANS raporunda, SQL injection sorunlarının da içinde yer aldığı ve ataklara neden olan bazı veritabanı açıklarının yanı sıra özellikle, savunma ve nükleer enerji sitelerine karşı yapılan spear phishing (aldatma) ataklarına da dikkat çekiliyor. Spear phishing’in gerçek anlamı mızrakla balık avlama ama internet söz konusu olduğunda bu kötü niyetli eylemi, Türkçe’ye “sazan mevsimi açıldı” şeklinde aktarmak da mümkün. Ama biz şimdilik buna kısaca siber-aldatma diyelim.

Siber-aldatma işi (spear phishing) bazı kişilerin, sanki çok yüksek bir makamdan veya resmi bir kurumdan e-posta gönderiyormuş gibi bu tür yüksek güvenlik gerektiren yerlere sızmasıyla oluyor. Karşı tarafta resmi bir yerden veya makamdan gelen bilgilere yanıt vererek aslında tamamen kötü niyetli olan bu kişilerin oyununa geliyor ve belki de son derece önemli bilgileri dışarıya sızdırmış oluyor. Kuşkusuz SANS yetkilileri, bu tür oyuna gelen kurumların isimlerini basına vermedi ancak bunun devlet içinde ciddi bir sorun olduğunu da saklamadı.

Eğer siz de sistem, ağ ve veritabanı konusunda meraklı bir amatör veya profesyonel çalışan bir bilişimci iseniz veya sadece, internet kaynaklı saldırılarda en sık kullanılan güvenlik açıklarını merak ediyorsanız, SANS Top 20’yi ziyaret etmenizi ve SANS (SysAdmin, Audit, Network, Security) Institute portalini web tarayıcınızın Sık Kullanılanlar (Favorites) linklerine eklemenizi öneririm.

23 Nisan 2006

www.telefonlarım.tel adresiniz olsun ister misiniz?

ICANN, son birkaç aydır birbiri ardı sıra yeni alan adlarını onaylamaya başladı. .eu, .mobi, .job ve .travel alan adlarından sonra geçtiğimiz günlerde .tel uzantısına sahip alan yeni bir alan adı da komiteden geçti.

Kişi ve kurumların telefon, faks, e-posta ve IM adları gibi, kendi iletişim bilgileri için kullanabilecekleri .tel uzantılı siteler üzerinden metin ve ses iletişiminin hemen başlatılabileceği söyleniyor. Örneğin, şirketler ve kurumlar, bu tür siteleri, daha çok müşterilerinin bulunduğu yerleri saptamak için kullanabilecek ve bu coğrafi bilgiyi aldıktan sonra müşteri iletişimini en yakın çağrı merkezine yönlendirebilecek. Böylelikle müşteri herhangi bir şekilde yer değiştirdiğinde bu siteler, kurumun onu izlemesi için bir imkan yaratmış olacak.

ICANN’in .tel alan adının yaygınlaşmasıyla birlikte bundan yararlanması olası bir başka kesim ise sarı sayfalar sisteminde olduğu gibi insanları bulmaya yarayan kişi arama portalleri olacak. Sanal alemde hiç yokluğu çekilmeyen sahtekarları, mafiozo çeteleri, geçmişte başınıza bela olmuş tipleri ve daha birçok kötü niyetli vatandaşı da unutmamak gerek. Dolayısıyla .com ve .org gibi uzantılara alışmış kaç kişi .tel uzantısına başvurup iletişim bilgisini internette yayınlamak ister, diye de sorabiliriz. Kuruluşlar dışında çok özel bir koruma sistemi olmaksızın bireylerin böyle bir şeye yeltenmesi her nedense bana biraz safdillik olurmuş gibi geliyor.

Kuşkusuz ürün ve hizmetlerini pazarlamak isteyen birçok kişi ve kurum, internetteki sebil iletişim bilgilerini kullanma konusunda son derece hevesli olacaktır. İnsanların da bu anlamda konuya ne kadar heves edeceklerini şimdiden tahmin etmek çok güç. ICANN’ın .tel alan adından temel hedefi, bu uzantıya sahip siteler üzerinden sesli veya metin bazlı iletişimi başlatabilmek.

Şimdilik sorulardan biri şu: bu alan adlarını kimler alabilecek? Herkese verilecekse, örneğin, www.nicholascage.tel adresini almaya kalksak ne olur? Öte yandan ya bir çete ünlü bir emlakçının adını kullanarak onun adıyla bir .tel sitesinden uydurma telefonlar yayınlarsa… Daha önce bu emlakçıyla tanışmamış bir kısım saf vatandaş, bu çeteye para kaptırırsa, bunun sorumlusu kim olacak?

Herhalde bu durumda ICANN elini taşın altına koymayacak.

Bir yandan her türlü dertten azade bir dünya anlayışı ile bakarsak herkesin bilgisinin şeffaf olduğu bir iletişim ortamı insana pek de soğuk bir düşünce gibi gelmiyor. Bir an için dünyadaki herkesin iletişim bilgisinin, .tel uzantılı siteler altında yayınlandığını düşünelim. Ne şamata!

Gerçekçi olalım: Bu düşün tırmanacağı yamacın yüksekliği bellidir. Günün birinde Bill Gates’in veya başbakanınızın ev telefonunu herhangi bir .tel uzantısında bulabileceğinizi varsayıyor musunuz? Bu türden iletişim siteleri olsa da arada telesekreterler, çağrı merkezleri, özel kalemler, tatlı dilli ve mesafeli asistanlar vb. size bulduğunuz bu iletişim numaralarının gerçekten de ‘numara’ olduğunu anımsatacaktır.

Bu biraz da şu meşhur sokak kameralarının her gün sıradan insanın yaşadığı yüzlerce acıyı, şiddeti ve yoksulluğu kaydetmesine rağmen bir gün bile çürümüşlüğün gerçek müsebbibi olan Don Corleone’leri gösterememesi gibi.

Ancak .tel’in gerçekten de yararlı olabileceği bir kullanım alanı var:

Kurum ve kuruluşların kendi iletişim bilgilerini yayınlayacakları adresler olarak işe yarayabilir. Örneğin, X firmasındaki bir kişiyi arıyorsanız, bu tür siteler üzerinden ilgili kişiye herhangi bir şekilde erişiminizi kolaylaştıracak sayısız araç hizmete girecektir. İlgili kişiye sesli mesaj bırakabilir, not yazabilir, ajandasını kontrol edebilir ve bunlar gibi şirketin meşrebine uygun cihazlarla teçhiz edilmiş site üzerinden çalışana çeşitli yaptırım ve tacizlerde bulunabilirsiniz. Zira her şey kayıt altına girmiş olacak. Zaten işin püf noktası da burada.

Öte yandan telefonda dakikalar boyu sevmediğiniz bir müziği dinlemekten veya anlamsız tuşlara tıklamaktan da kurtulmuş olacaksınız.

Bu da fena bir fikir değil galiba!

19 Nisan 2006

Ekrana dokunmanın büyüsü

Dokunmatik ekranlar aslında yabancısı olduğumuz bir konu değil. Temelde ekran üzerine giydirilen şeffaf bir dokunun, parmak temaslarını, klayve ya da fare gibi bilgisayara iletmesiyle çalışan bu sisteme genelde otomatik banka veznelerinden aşinayız. ATM kullananlar için bugün bu olağan bir teknoloji. Ancak bu teknoloji hızla gelişiyor. Normalde dokunmatik ekranlar da komutları belli bir sırada işleme koyar. Ancak son zamanlarda gelişen teknoloji ekran üzerinde aynı anda birden çok yere dokunarak, bir anlamda aynı joystick mantığında olduğu gibi, işlem yapmanızı kolaylaştırıyor. Aslında biraz hayal gücümüzü zorlamakta yarar var. Örneğin, aynı anda ekrana dokunarak neler yapabilirsiniz, bir düşünelim...

Neler yapmazsınız ki, diye düzeltiyorum. Lütfen aşağıdaki linkten ilgili videoyu izleyiniz. İnsanoğlunun alet yapmasını sağlayan en önemli uzvu el'in marifetlerini bilişim endüstrisi keşfetmekte gecikmedi.

Sistemler endüstriden, hayalgücünüzü test etmek ve parmaklarınızı çalıştırmak sizden :-)

Lütfen
tıklayınız

16 Nisan 2006

Sanallaştırmada yeni adımlar / Virtualization - 2

Geçen hafta bazı gelişmeleri yansıtmaya çalıştığım sanallaştırma teknolojilerinde, endüstri, gerek donanım, gerekse yazılım bazlı çalışmalarını devam ettiriyor. Bu konuda özellikle Intel ve AMD'nin çok çekirdekli işlemci mimarileri kadar açık kaynaklı yazılım üreticilerinin de öncülüğüyle yeni bir pazarın oluşmaya başladığını söyleyebiliriz. Ancak şu sırada VMWare ve Xen Technologies'in başını çektiği üst sanal yönetim (hypervisor) yazılımlarının pazar arayışının yanı sıra bu işin Linux açısından öneminin de sorgulanmaya başladığını görüyoruz.

Örneğin, Linux dünyasında sanallaştırmanın öncülerinden olan Xen, Linux'un çekirdeğiyle daha iyi bir entegrasyon arayışını sürdüre dursun, Linux camiasının Linus Torvalds'dan sonra en iyi tanıdığı isimlerden biri olan Andrew Morton, sanallaştırmanın, Linux çekirdeğinde yer alan bir arayüzle gerçekleştirilmesinin daha doğru olacağını açıklayıverdi. Linux'un bu beceriyi sunduğunu ve firmaların asıl bu arayüzü geliştirmesi için çaba harcamaları gerektiğini söyleyen Morton, tek bir uygulamaya bağımlı kalmaktansa çekirdek üzerinde çok fazla seçeneği destekleyen bir arayüzün geliştirilmesinin daha doğru bir politika olacağını ifade etti.

Mac dünyasında sanallaştırma
Öte yandan Macintosh'un da Intel dünyasına biat etmesi, Apple'ın da bu alanda çalışmasına yol açarken, Boot Camp adıyla çıkardığı yeni teknoloji Intel tabanlı Mac'ler üzerinde Mac OS X ve Windows işletim sistemlerini çalıştırmaya olanak veriyor. Ancak Apple bu konuda yalnız değil. Virginia merkezli bir firma olan Parallels de Apple'ın Boot Camp'ı duyurmasından hemen ardından Parallels Workstation 2.1 for Mac OS X yazılımının beta sürümünü duyurdu.

Bu ay tüm özellikleriyle beta tester'lar tarafından kullanılabilecek durumda olan bu ürünün gerçek sürümünün mayıs ayında piyasada olması bekleniyor. Parallels yetkilileri, bu ürünün Windows veya DOS işletim sistemlerinin herhangi bir sürümünün veya diğer x86 işletim sistemlerinin Macintosh'larda aynı anda ve gerçeğine aratmayacak bir performans ile çalışabileceğini öne sürüyorlar.

Parallels, patentini almayı planladığı hypervisor'ı da aynı Xen gibi projelerde kullanılan "sanal erişim" teknolojisine sahip. Intel'in sanallaştırma teknolojisini de destekleyen yazılım bu sayede performans artışını da sağlıyor. Tabii ki Intel tabanlı MacBook Pro ve iMac, Intel VT'yi kullanırken, Mac Mini'ler bundan yararlanamayacak. Parallels yetkililerinin iddiasına göre VT tabanlı donanımların performansı yüzde 150 oranında artırıyor. Yazılımın bazı sınırlamaları da var. Örneğin, her sanal makine için en fazla 1.5 GB bellek kullanılabiliyor. Bu arada çifte-yükleme özellikle makinalarında oyun oynamayı sevenler için cazip bir seçenek olarak gündeme gelirken, Apple ise Windows sanallaştırmasını düşünmediğini açıkladı.

Apple'ın Boot Camp Assistant'ı ile Parallels'ın yazılım arasında ciddi bir fark var; Boot Camp'in diğer işletim sistemine geçiş yapması için makineyi yeniden başlatmanız gerekiyor. Parallels'in ürününde ise makineyi yeniden yüklemeden işletim sistemleri arasında geçiş yapabiliyorsunuz. Böylece her iki işletim sisteminin ekranlarını ayarlayarak sistemler arasında kes-yapıştır gibi işlevlere imkan tanıyacak olan bu yazılımın performansının da bilgisayarda oyun oynamanızı sağlayacak kadar yüksek olacağı söyleniyor.

Boot Camp beta gibi Parallels beta de kendi internet adresinden ücretsiz indirilebiliyor.

Parallels'in, gerçek sürümünü 50 dolardan satışa sunacağı açıklanırken, ürünü ancak lisanslı Windows kullanıcıları değerlendirebilecek. Ürünü, Windows 3.1 / XP / 2003 gibi Windows işletim sistemlerinin yanı sıra Linux, FreeBSD, Solaris, OS/2, eComStation ve MS-DOS gibi x86-uyumlu işletim sistemleriyle birlikte de kullanabileceksiniz.

Elmalar kızarıyor
Bu arada Microsoft da zamanı geldiğinde Intel tabanlı Mac'ler için Virtual PC'yi yükleyebileceklerini söylerken, VMWare ise laboratuar ortamında kendi sistemini Mac OS X üzerinde çalıştırdığını açıkladı. Ama iki firma da nihai ürünlerinin ne zaman çıkacağını henüz açıklamadılar. Bu arada diğer bazı Mac sanallaştırma projeleri arasında Free Q ve Darwine'i de saymak mümkün.

Bu arada CrossOver Office adlı bir ofis yazılım setine sahip olan CodeWeavers, bu yazılımın Mac OS X sürümünü çıkarmayı planlıyor. Bu sürüm Microsoft Office'in Windows sürümünün diğer platformlarda da çalışmasını sağlayacak. Aslında bu ürün uzun yıllardan beri Linux'ta kullanılıyor.

Sanallaştırma neden önemli?
İşletim sisteminin ötesinde sanallaştırma özellikle Linux makinalarda daha az bilgisayar belleği harcaması ve daha fazla disk bölümlemesine (partitioning) olanak tanımasıyla kullanıcıya ciddi bir esneklik kazandırırken, özellikle yeni yazılımları denemek isteyen kullanıcılar, kolayca yeni disk bölümleri oluşturabiliyor ve iş ile ev kullanımları için bilgisayarlarını daha iyi optimize edebiliyor. Bu arada web tarayıcılar üzerinden gelebilecek tehlikelere karşı farklı işletim sistemleri, farklı amaçlarla aynı anda kullanılarak kritik ve özel bilgiler koruma altına alınabiliyor.

Aslında sanallaştırmanın ilk adımları Sun Microsystems'ın 2005 yılında pazara sunduğu Solaris 10'da Solaris Containers ile atılmıştı. SWsoft adındaki küçük bir yazılım firması da Windows ve Linux sanallaştırması için Virtuozzo adını taşıyan bir ürün üretmişti. OpenVZ olarak bilinen bir projeyle ortaya çıkan bu taşıyıcı (container) teknolojisi Linux dünyasında Windows kullanımına destek oldu. OpenVZ projesini yürütenler, şu günlerde, başka işletim sistemi kurulumlarını da kendi taşıyıcısı üzerine aktarmaya çabasındalar. OpenVZ'nin bir alternatifi de VServer... Ancak, detaylara burada fazlasıyla girmem mümkün değil. İlgili grupların kendi sitelerini ziyaret etmenizi öneririm.

Yine işlemci dünyası
Çok çekirdekli işlemciler, bazı firmalara iş fırsatı yaratmaya devam ediyor. Örneğin, TenAsys firmasının geliştirdiği gerçek zamanlı bir sanal-makine yönetim yazılımı RT-Hypervisor, yeni Intel mimarisinin özelliklerini, işletim sistemlerini, birbirinden tam anlamıyla yalıtmak amacıyla kullanıyor. Sanal çalışan gerçek zamanlı işletim sistemlerinin (RTOS) donanıma hakim olmasını sağlayan ve kaynak kesintilerinin yönetimini sağlayan bu yazılım, işletim sistemlerinin ihtiyacına göre bazı donanım kaynaklarını özel olarak belli bir OS'e ayırabilecek. Ürünün bu yıl içinde çıkması ortaya çıkması bekleniyor.

Bu arada Advanced Micro Devices, Opteron serisinin yeni modelleri olan Rev F işlemcilerini, masaüstü modellerden başlayarak bu yıl üretmeye başlayacak, aslında bu serinin dört çekirdekli AMD işlemcilerinin yolunu açması bekleniyor. Bu yılın üçüncü çeyreğinde bu yonga setini Opteron serisi sunucu işlemcilerinde görmeyi umuyoruz. Intel VT (Virtualization Technology) işlemcilerine karşı, AMD'nin sanallaştırma özelliğini eklediği Rev F modellerini AMD-V serisi olarak rekabet edecek. Pacifica ve Presidio olarak anılan sanallaştırma teknolojileri ile özel güvenlik çözümleriyle gelecek. Bellek daha hızlı olacak ve daha az enerji tüketecekler. Yongaların yüksek hızlı tampon bellekleri beher çekirdek için 1 MB olarak kalacak ve bilgisayarın bellek sistemiyle iletişimini tek bir bellek denetçi kartı üzerinden sürdürmeye devam edecekler.

Geçen hafta Xen sanallaştırma yazılımının ver. 3.0.2 sürümü pazara çıkarken bu ürünün bu yılın ikinci yarısında piyasaya çıkacak olan AMD-V'nin sanallaştırma özelliklerini de desteklediği açıklandı. Ayrıca, Xen'in özellikle Linux dünyasına odaklanmasına karşı bu yeni desteğin Windows gibi kapalı işletim sistemlerini sanal ortamda çalıştırma konusunda Xen'e daha büyük bir esneklik kazandıracağı açıklandı.

Bildiğiniz üzere, Xen 3.0.2, özellikle Linux çekirdeğinin yeni 2.6.16 sürümü üzerinde çalışacak şekilde tasarlandı.

AMD bu yıl 65 nm üretime geçmeyi planlarken, Intel bu üretim sürecine geçen yılın sonunda geçmişti.

Intel ise önümüzdeki yıl ilk dört çekirdekli Xeon modellerini duyurmayı planlıyor. Intel cephesinde, Clovertown, iki işlemcili sistemler için ilk dört çekirdekli işlemcisi, Tigerton ise dört soketli sistemlerin kod isimleri olarak biliniyor.
Intel'in çok çekirdekli işlemcileriyle ilgili yol haritası için bu PDF dosyasında yeterince ayrıntı var.