Web 2.0 ile birlikte gelen tehlike…

 Web 2.0

Nedir bu web 2.0 yeterince konuşuldu. Web 3.0 dönemi bile tartışılmaya başladı. Kısaca web 2.0 denen şeyin en basit açıklaması: Sayfayı terketmeden oraya buraya tıkladığınızda hoş efektlerle yazıların, formların bir görünüp bir kaybolması, Site içeriklerinin ortaklaşa düzenlenmesi yani kullanıcının yönettiği web, bir de hoş renkler.. Bence web 2.0 her yerinde bolca java kullanılan, sitenin içeriğinin büyük bir bölümünün üyeler tarafından oluşturulduğu web sitelerini kapsayan internetin şu anki dönemidir.

Java uzun yıllardır kullanılan bir programlama dili. Javascript ise web sitelerinde kullanılan script dillerinden bir tanesi. Web-sayfaları arasında gezinirken oldukça sık rastlayabilirsiniz. Javascript kodları doğrudan HTML içeriğe gömülebiliyor ve Web tarayıcısı programa doğrudan iletilebiliyor. Program, bu kodu çalıştırarak sitede sunulan işlevlerin kullanılmasını sağlıyor. Sitedeki bir formu doldurup altındaki “Tamam” butonuna basmak bile javascript sayesinde oluyor. Bilgisayar korsanları devreye girdiğinde ise birçok zararlı eylem, kullanıcının her an karşılaşabileceği riskler olarak ortaya çıkıyor. Bilgisayar korsanı isterse, kullanıcıyı, ziyaret ettiği sitede sakladığı bir kod ile kendi belirlediği bir adrese yönlendirebiliyor. Kullanıcının bilgisayarına, yönlendirildiği bu ikinci siteden başka bir javascript daha yükleniyor. Bundan sonra ise kullanıcının favori siteleri ve çerezleri toplanarak korsana iletiliyor.

Bundan kullanıcının hiç haberi olmuyor. Kullanıcıların büyük kısmı, Web tarayıcılarının kullanıcı adı ve parolalarını anımsamasını istedikleri için ayarlar bölümünde ilgili seçeneği işaretliyor. Bu da bilgisayar korsanının ekmeğine yağ sürülmesi anlamına geliyor. Korsan, kullanıcının hangi İnternet bankacılığı hizmetini kullandığını buradan saptıyor ve çerezlerdeki kullanıcı adı ve parolalardan yararlanarak sisteme giriş yapabiliyor.  Sadece bu değil. Tasarımcılar için de tehlike mevcut. Tasarımcı web sayfasını hazırlarken javascript hataları yaparsa yani sorgu içeren formlarda gerekli filtreleme özelliğini kullanmazsa korsanlar kullandıkları javascript kodlarıyla sayfa içerisine bir tünel gibi yol açıp istedikleri kodu, trojan içeren bir web sitesinin linkini veya kendi sitelerinin otomatik açılır penceresini ekleyebiliyorlar. Eskiden olduğu gibi siteyi çökertmek yerine kendi kötü amaçlarına hizmet için kullanıyorlar. Güvenlik konusunda uzman Trend Micro konuyu masa üstüne yatırmış ve web 2.0 beraberinde sıkça kullanılmaya başlanan javascript kodlarının önemli tehlikeler teşkil ettiğini kabul etmişler. Yaptıkları açıklamada şunları söylemişler; “Hem javascript’in nimetlerinden yararlanmak, hem de tehlikelerinden sakınmak ancak Web 3.0’ın hayata geçirilmesi ile mümkün olacak gibi görünüyor. Bu süreçte Web sitesi tasarımcılarına büyük iş düşüyor. Hızlı iş yapmak adına, rutin güvenlik önlemlerini görmezden geliyorlar ve sonuçta hazırladıkları siteler, ciddi güvenlik açıklarıyla dünyaya geliyor. Site hack’lendiği zaman durumu düzeltmek için harcanan zaman ve bu arada yaşanan itibar kaybı ise önceden görülüp önlem alınmadığı için hem site sahipleri, hem de kullanıcılar zarar görüyor. Trend Micro’nun OfficeScan 8.0 çözümü, javascript kodlarına karşı üst düzey güvenlik sağlıyor. OfficeScan, sadece javascript’lere karşı koruma sunmuyor, aynı zamanda sürekli olarak güncellenen ve çok geniş bir veritabanına sahip olan itibar bilgi bankalarının desteğiyle, internet’te sörf yapan kişilere siteler hakkında renklerle kodlanmış uyarılar gösteriyor.”

Benzer yollarla bu açıklardan yararlanan bilgisayar korsanları daha önce hazırladığım sayfalardan birine iç çerçeve olarak trojan yayan bir sitenin linkini eklemişlerdi. Sayfa açıldığında otomatik olarak bilgisayara trojan bulaşıyordu. Ağzım yanmamış olsaydı bu tehlikenin farkına varamayacaktım.

Bu tehlikenin bugüne kadar en sık yaşanan sonucu XSS Açığı olarak ta bilinen Cross Site Scripting Vulnerability yani Çapraz Site Kodlama Açığı Sorunudur. Posta kutunuza gelen sahte banka mektuplarında bulunan linkler sayesinde bu yolla bilgilerinizi alabilirler.

Açıkçası güvenmediğiniz siteleri kullanmayın, posta kutunuza gelen her linke tıklamayın, herhangi bir site üzerinde bilgilerinizi verirken dikkatli olun, çerezlerinizi sıklıkla temizleyin veya çerezleri kabul etmeyin, güvenilir bir tarayıcı kullanın. Antivirüs programlarınızı güncel tutun, antivirüs programınız yetersiz kalıyorsa spyware, trojan, adware yazılımlarını engelleyen programlar kullanın.


Bu yazı 28 Haziran 2007 Perşembe günü Onur Pay tarafından yazıldı

“Web 2.0 ile birlikte gelen tehlike…” için 1 yorum yapılmış

  1. özge tarafından Tem 1, 2007 tarihinde yapılmış

    Sevgili Onur,
    Ailecek seni okuyoruz çok beğeniyoruz. Hatta sana BRAVO diye bağırıyoruz hep bir ağızdan. Şimdi bize söyler misin; bu nedir bu? Yani, madem böyle bizi tehdit eden bir şey bu niye böyle yapmışlar ki? Hem hayatın anlamı ne? Ailecek kafamız karıştı…:O

Siz ne diyorsunuz?

Valid XHTML 1.0 Transitional Valid CSS!