Murat Demirten

Ülkemizde e-devlet uygulamalarının ortalamanın üzerinde olduğunu ve her geçen yıl yeni özelliklerle zenginleştiğini söyleyebiliriz. Bu uygulamalardan biri de kişisel sağlık verilerimizi içeren e-Nabız sistemi. Bu yazıda geçtiğimiz Temmuz ayında Singapur sağlık sisteminden, başbakan dahil 1.5 milyon vatandaşın verilerinin çalınması ve sonrasındaki değerlendirme sürecini incelemeye çalışarak, başlıktaki sorumuza yanıt aramaya çalışacağız.

Son yıllarda yaz/kış saati dönüşümleri, çeşitli nedenlerle önceden planlanın dışındaki tarihlerde gerçekleşti. Bu yıl ise kış saati uygulaması tamamen kaldırıldı, gelecek yıl ne olur bilemiyoruz. Böyle giderse yakında saat dilimi değişikliklerini seçim vaatleri arasında dahi görebiliriz! Bu yazıda 2016 kış saati geçişinin iptali özelinde Linux sunucularda dikkat edilmesi gereken noktalar üzerinde duracağız.

Konunun teknik ayrıntılarına girmeden önce, daha çok kişinin faydalanabilmesi için yazımıza kısa bir özet ve önemli bir tavsiye ile başlayalım.

2012 yılında Linkedin kullanıcı veritabanı, parolaların şifrelenmiş hallerini de içerecek şekilde ele geçirilmiş, firma durumu kabul etmiş ve kullanıcılarından parolalarını güncellemelerini istemişti. O dönemde bu veri sızıntısının boyutları hakkında detaylı bilgiye sahip değildik. Aradan 4 yıl gibi bir zaman geçtikten sonra, geçtiğimiz hafta -tam da Linkedin Microsoft tarafından satın alınma arefesindeyken- aynı veritabanı torrent üzerinden tekrar yayınlandı.

Sızdırılan veritabanını incelediğimizde, Linkedin tarafından kullanıcı parolalarının güvenliği için oldukça acemice olarak nitelendirebileceğimiz, unsalted SHA1 yönteminin kullanıldığını görmekteyiz. Bu özetle şu anlama geliyor, 2012 yılında Linkedin hesabınız varsa, parolanız 12 haneden küçükse ve aynı parolayı başka hesaplarınızda da kullanıyorsanız hemen o parolayı değiştirin ve bir daha hiç bir sistemde tekrar kullanmayın! 

Günümüzde işlemcilerle birlikte derleyici uygulamaları da oldukça gelişmiş durumda. Derleyiciler tarafından hem ilgili işlemci mimarisi hem de genel çalışma biçimine yönelik pek çok optimizasyon yapılıyor. Optimizasyon sürecinden elde edilen kazanımlar o kadar önemli ki, herhangi bir sebeple optimizasyonlardan vazgeçmek seçenekler arasında yer almıyor. Bununla birlikte derleyici optimizasyonlarının bazı durumlarda yaratabileceği tehlikelerin programcılar tarafından yeterince bilinmediğini de görmekteyiz. Bu yazımızda bir örnek üzerinden konuya değinmeye ve C dilinde bir miktar gözden uzak kalmış volatile anahtar deyimi üzerinde durmaya çalışacağız.

Başlığımız her ne kadar 4.5G şeklinde olsa da, böyle bir kavram gerçekte varolmadığından işin eğlenceli bölümünü bir kenara bırakıp asıl konumuza gelelim: 4G / LTE şebekeleri sanıldığı kadar güvenli mi?

Cümleyi buradan kurunca sonunda pek iç açıcı noktalara ulaşamayacağımızı anlamışsınızdır. Evet, maalesef onca ek güvenlik iyileştirmelerine rağmen 4G şebekelerinde şimdiden pek çok sorun tespit edilmiş durumda. Üstelik bu zaafiyetlerin üzerinde çalışmak için eskisi gibi çok özel ekipmanlara ihtiyaç da bulunmuyor, 1.200$'lık bir donanımla bile neler yapılabildiğine bu yazımızda değinmeye çalışacağız.

Geçen hafta gerçekleşen saldırılar, dünyanın başka yerlerinde benzerleri her daim yaşanmasına rağmen artık vaka-ı adiyeden sayıldığı için geniş yankı buldu ve konu her yönüyle tartışılmaya başlandı. Bu yazıda böyle zamanlarda sıklıkla gündeme gelen, şifreleme uygulamalarının kamu güvenliği açısından devletlerin erişimine arka kapılar bırakması gerekip gerekmediği konusuna kısaca değinmeye çalışacağız.

Yazılım geliştiriciler olarak açık kaynaklı yazılım geliştirme modelinden hemen her gün faydalanıyoruz. Belirli bir özellik/fonksiyon'a ihtiyacımız olduğunda ilk işimiz açık kaynaklı bir proje yada kod parçacığı aramak oluyor. Hatta öyle ki arada sırada internet bağlantımızda sorun olduğunda neredeyse kod yazamaz hale geliyoruz veya kod yazmak içimizden gelmiyor. Peki açık kaynaklı yazılımların daha da iyi hale gelebilmesi için yeterince katkı sağlayabiliyor muyuz?

İnternet ağında biri gizli diğeri açık olmak üzere ikili anahtar sistemini kullanan protokoller üzerinden (https, ssh,  vpn çözümleri vb.) iletişim kurduğumuzda güvende olduğumuzu düşünüyoruz. İki bilgisayar sistemi arasında bu şekilde gerçekleştirilmiş olan bağlantıdaki veriler üçüncü bir sistem tarafından gözlemlenebilir ancak görülebilenler tümüyle şifreli olacaktır. Bu şifreyi çözmek ise güncel teknolojiyle yüzyıllar mertebesinde süre almaktadır. Dolayısıyla iletişimin güvenli olduğunu söyleyebiliriz. Bu temel varsayım üzerinde sadece kişisel bilgilerimiz, eposta arşivimiz değil e-ticaret ve ödeme sistemleri de dahil olmak üzere pek çok operasyon güvenli biçimde çalışmasını sürdürmektedir. Peki gerçekten de bu kadar güvende miyiz? Örneğin NSA gibi kuruluşların bu trafiği izlemesi mümkün müdür?

Geçtiğimiz Temmuz ayında, devletlere casus yazılımlar sağlayan ve son yıllarda popülaritesi giderek artan İtalya merkezli Hacking Team firması, bir başka ekip tarafından hack edildi ve geliştirdikleri yazılımların kaynak kodları da dahil olmak üzere, pek çok doküman ve eposta arşivi internette yayınlandı [1]. Konu basında geniş yer buldu ancak teknik yönlerine pek değinilmedi. Bunun üzerine merakımı gidermek için yazılım kaynak kodlarını inceleyerek sistemi çalışır hale getirdim. Bu yazıda konuyla ilgili teknik ya da değil herkese faydalı olabileceğini umduğum izlenimlerimi paylaşacağım.