Zamanında “test için açılmıştı”, “şimdilik dursun” denmişti… ama yıllar geçti, kimse ilgilenmedi.
Bugün o web arayüzü hâlâ açık olabilir.
Şifresiz. Şifrelemesiz. Korumasız.
Endişelenmeyiniz! Bu e-postayı kötü köşe yazarları gibi araya boşluklar bırakıp, bol miktarda “…” kullanarak uzatmayacağız. Sistem yöneticileri için kısa kontrol listesi hemen aşağıda.
Test için açılan ve/veya unutulan uygulamalara sızma testleri sırasında bizler de sıkça rastlıyoruz. Bu uygulamaların hepsi kuruluşa ait önemli veriler barındırmıyor elbette ancak başka sistemlere sıçramak veya SOC’den saklanmak için bizlere güzel bir alan açıyorlar.
Acı Gerçekler:
• Geçici olarak kurulan bir iç hizmet, yıllarca kimse fark etmeden çalışabilir.
• Güvenlik önlemleri eksik bırakıldığında, küçük bir web uygulaması bile ağın zayıf noktası haline gelir.
• Cloud ya da veri merkezinde onlarca servis arasında kolayca gözden kaçabilir.
• Genel kural: sahibi olmayan sistemler, güvenliğini de kimsenin üstlenmediği sistemlerdir.
Sistem Yöneticileri için Kontrol Listesi
Bu tür unutulmuş uygulamaları keşfetmek ve oluşturdukları riskleri ortadan kaldırmak için şu adımları izleyebilirsiniz:
1) Tüm Servisleri tespit edin:
• Ağınızda çalışan HTTP/HTTPS servislerini port tarama ile belirleyin (örn. nmap, masscan).
• Yaygın kullanılan portlara (8000–9000, 5000, 3000, 8080) odaklanın.
2) Güvenlik Kontrollerini Gözden Geçirin:
• Uygulamalarda kimlik doğrulaması var mı?
• Şifreleme (TLS/SSL) kullanılıyor mu?
• Varsayılan veya test kullanıcı bilgileriyle erişim mümkün mü?
3) Sistem Envanterinizi Güncelleyin:
• Her servisin sahibi, amacı ve yaşam döngüsü net olarak belgelenmeli.
• Kaynağı belirsiz uygulamalar ya kapatılmalı ya da güvenli hale getirilmeli.
4) Otomatik Takip Mekanizmaları Kurun
• Haftalık taramalar ile yeni açılan port ve servisleri raporlayın.
• Loglar üzerinden HTTP trafiği analiz edilerek şifresiz uygulamalar tespit edilebilir.
5) İşbirliğini Güçlendirin:
• Geliştirici ekiplerle iletişim halinde olun.
• Kullanım dışı kalan uygulamaların kapatılması için süreç belirleyin.
Unutmayın:
• Bir sistem veya uygulama gözünüzden kaçmış olabilir, ama saldırganlar onu kaçırmayabilir.
• Ağınızdaki en zayıf halka, genellikle kimsenin sahip çıkmadığı o küçük servis olur.
• Bugün harekete geçin (Rica ediyoruz bu yazıyı okuyup geçmeyin)
• Yarın bir güvenlik olayı yaşamamak için, görünmeyenleri bugünden görünür kılın.