Bildiğimiz dünya, uluslararası bankalardan ve yerel topluluklara ait dükkanlardan kablosuz kapı zillerine ve akıllı mutfak aletlerine kadar her şeyde bulunan, dikkatlice birbirine bağlı teknoloji katmanlarından oluşuyor. Siz ve hayatımızın bu temel yönleri arasındaki her bir teknolojinin tek bir ortak noktası var: çalıştırdıkları kod. Küçük bir ayrıntı gibi görünebilir, ancak bir şeyler ters gittiğinde, milyarlarca kişisel ve bazen hassas bilgi kaydını kötü niyetli aktörlere karşı savunmasız bırakma potansiyeline sahiptir.
Bu durum akla şu soruyu getiriyor, en çok kullandığımız servislerin korumalı olduğunu nasıl anlarız, ‘güvenli kodlama uygulamaları’ derken neyi kastediyoruz ve güvenli kodlama uygulamalarına uyulmadığında ne oluyor?
Güvenli kodlama uygulamaları nelerdir?
Güvenli kodlama uygulamaları, kurumsal kuruluşlardaki geliştiriciler (programcılar) için belirlenen yönergelerdir ve özellikleri uygularken izlenecek bir metodolojiyi yönetmeyi ve yürütmeyi amaçlar. Bu yönergeler, mevcut kod tabanını genişletirken belgelerin oluşturulmasını sağlamak gibi basit önerilerden, kodun yapısını ve düzenini detaylandırmaya kadar uzanır.
Geliştiriciler, geleceğe yönelik koruma sağlamak, modülerliği artırmak ve genel kod karmaşıklığından kaynaklanan hata olasılığını azaltmak amacıyla genellikle kod tabanlarını belirli bir tasarım paradigmasına uyarlar.
En güvenilir hizmetlerimizin güvenli olduğunu nasıl bilebiliriz?
Kamu sektöründeki şirketler devlet otoriteleri tarafından düzenlenirken, özel ve limited şirketler için farklı bir yaklaşım izlenmektedir. En son standartlarla uyumlu kalabilmeleri için, temel altyapılarının bir tür derinlemesine güvenlik güvencesinden geçtiğine dair kanıt sağlamaları gerekir.
Bu şirketler uyumlu değilse, para cezalarını ve cezaları riske atarlar. Ayrıca, sigorta sağlayıcılar artık sözleşmeleri yenilemek istemeyebilir. Kısacası, hem finansal hem de itibar açısından işletme üzerindeki risk ve potansiyel etkiyi azaltmak, birçok işletmenin zihninde ön planda olacaktır.
Bir şeyler ters gittiğinde ne olur?
En büyük etkiye neden olan güvenlik açıklarından bazıları, güvenli kodlama uygulamalarındaki gözetimlere kadar uzanabilir. En sağlam yönergeler bile son kodda hatalara ve hatalara izin verebilir, ancak yönergeler olgunlaştıkça sorunların sıklığı tipik olarak azalır.
En popüler yazılımımızdaki en sorunlu zayıflıklardan bazıları, sıkı kalite kontrol ve güvenli kodlama yönergeleri ile yakalanabilirdi. Kötü amaçlı kodların yürütülmesine izin vermek için Microsoft’un Windows işletim sistemi ve çekirdek bileşenlerindeki bir güvenlik açığını hedefleyen EternalBlue’yu ele alalım. Bu sonuçta, sadece bir günde dünya çapında 230.000’den fazla Windows PC’ye bulaştığı bildirilen WannaCry fidye yazılımı saldırısında istismar edilen bir kodlama sorunuydu.
Geçtiğimiz on yıl, güvenli kodlama uygulamalarının öneminin giderek daha fazla kabul edildiğini gördü ve dünyanın dört bir yanındaki hükümetler ve kurumsal kuruluşlar, güvenli yazılım geliştirmeyi teşvik etmek ve teşvik etmek için adımlar attı (örn. hata ödülleri). Örneğin Amerika Birleşik Devletleri’nde ABD İç Güvenlik Bakanlığı’nın Yazılım Güvence Pazarı (SWAMP) programı, geliştiricilerin yazılımlarındaki güvenlik açıklarını belirlemesine ve ele almasına yardımcı olacak bir dizi araç ve kaynak sağlar. Bu arada, Avrupa Birliği’nin (AB) Genel Veri Koruma Yönetmeliği (GDPR), yazılım geliştiricilerin kişisel verileri korumak için uygun güvenlik önlemlerini uygulamasını zorunlu kılar.
Bu çabalara rağmen, veri ihlalleri ve siber saldırılar endişe verici bir oranda gerçekleşmeye devam ediyor. Risk Based Security’nin 2020 Yıl Sonu Veri İhlali QuickView Raporuna göre, yalnızca 2020’de dünya çapında 37 milyardan fazla kayıt veri ihlallerine maruz kaldı. Ayrıca, bildirilen ihlaller öncelikle en önemli kamu hizmetlerimizden bazılarına, yani sağlık hizmetlerine odaklandı. Bu, güvenli kodlama uygulamaları da dahil olmak üzere güvenliğin birçok alanında sürekli dikkat ve iyileştirme ihtiyacını vurgulamaktadır.
Sorunun özüyle mücadele
Büyük geliştirme ekiplerine sahip şirketler, Rust gibi daha güvenli standartlara ve daha güvenli programlama dillerine kademeli olarak geçiş yapıyor. Bu, güvenli olmadığı düşünülen herhangi bir işlemin açıkça beyan edilmesi gereken tasarım gereği güvenli bir paradigmayı uygulayarak sorunla kısmen mücadele eder ve gözetim yoluyla güvensiz işlem olasılığını azaltır. Tasarım gereği güvenli paradigmalar, güvenli kodlama uygulamalarındaki modern gelişmelerle birlikte geliştirme uygulamalarında kesinlikle bir sıçramadır. Ancak, bir çözümün gerçekten güvenli ve güvenilir olarak kabul edilmesi için, ayrıntı odaklı güvenlik değerlendirmeleri her zaman gerekli olacaktır.
Güvenli kodlama uygulamaları olgunlaştıkça, modern yazılımlardaki güvenlik açıklarının toplam sayısında ve riskinde bir azalma görüyoruz. Ancak bu, dijital olarak bağlanan cihazların sayısındaki artışla sürekli olarak saldırıya maruz kalan kodun ayak izini artırarak dengeleniyor.
Modern güvenlik her zaman geliştiriciler ve kötü niyetli aktörler arasında bir yarış olacaktır. Güvenli geliştirme uygulamaları ve iyi düşünülmüş tasarımlar, üzerine yeni özellikler eklemek için sağlam bir temel oluşturmaya yardımcı olabilir ve nihayetinde bu uygulamalar, potansiyel rakiplerin becerilerinin kesinlikle olacağı gibi büyümeye ve gelişmeye devam etmelidir.
Joseph Foote, PA Consulting’de bir siber güvenlik uzmanıdır.