Siber Güvenlik Üzerine Bir Araştırma: Yazılım Güvenliği

Yıl 2019, Cilt: 2 Sayı: 2, 254 - 260, 31.12.2019

Mustafa Of

Öz

İnternetin temeli 1960 yılının sonlarına doğru Amerika Birleşik Devletleri tarafından atılmıştır. Çekirdeği ARPANET ağıdır. Bu ağ, ARPA (Advensed Research Project Agency) adlı ajans tarafından geliştirilmiştir. Amacı, dayanıklı ve güvenli bir askeri ağ olmasıdır. 1980’li yıllarda bu ağın gelişmesi için bütçe ayrılmış ve her geçen gün büyüyerek şimdiki İnternet ağını meydana getirmiştir. İnternetin bir bilgisayar ağı olmasından dolayı birbirlerine bağlı cihazların iletişime girebilmeleri için bir ağ iletişim kuralına ihtiyaç vardır. Bu iletişim kuralının adı TCP/IP’dir (Transmission Control Protocol/Internet Protocol). 1983 yılında kullanılabilir hale gelmiştir. Çeşitli protokollere sahiptir. Ağ iletişim kuralları, insanlar arasında kullanılan yabancı lisanlara benzemektedir. Ağa bağlı aygıtların da aynı ağ iletişim kuralına sahip olmaları gerekmektedir. İnternetin temeli olan bu iletişim kuralı birçok güvenlik açığını da beraberinde getirmiştir. 2018 yılındaki İnternet kullanıcı sayısı 7 milyarı aşmıştır (Hootsuite We Are Social, 2019). Bu kadar büyük bir kullanıcı sayısı her geçen gün büyüyen bir güvenlik açığını ortaya çıkartmıştır. Akıllı telefonların hayatımıza girdiği günden bu yana güvenlik açıkları daha da büyümüştür. İnternet iletişim kuralının çok güvenli olmaması ve kullanıcıların da güvenlik konusunda gerekli dikkate sahip bulunmamaları sonucunda İnternet, güvensiz bir ağ haline gelmiştir. Herkese açık bir ağda her an saldırıya maruz kalınabilir. Siber saldırılardan korunmak için temel tedbirlerin alınması gereklidir.
Bu çalışmada, yazılım geliştiricilerine ve kullanıcılara hitaben yazılım güvenliğinde dikkat edilmesi gerekli maddeler açıklanacaktır. Yazılımlar, kullanıcıların istekleri ile buluşmasını sağlayan bir aracı uygulamadır. Bu aracın daha güvenli olarak geliştirilmesi ve sunulması gerekmektedir. Yazılımların kullanımlarından ortaya çıkan siber saldırılarla nasıl mücadele edilebilir? Sorusunun cevabı aranacaktır.

Anahtar Kelimeler

Yazılım Güvenliği, İnternet İletişim Protokolü

Kaynakça

• [1] ALTINKAYNAK M., (2017). Uygulamalı Siber Güvenlik ve Hacking, Abaküs Yayınları, İstanbul
• [2] DEMİR B., (2013). Yazılım Güvenliği Saldırı ve Savunma, Dikeyeksen Yayınları, İstanbul
• [3] AKTAŞ O., Siber güvenlik: Hacking atölyesi, Gazi Kitabevi, Ankara, 2017
• [4] OF M., Bilişim Güvenliği Politikalarının Temel İpuçları, Enscon 18 Bahar Sempozyumu, http://enscon.org/pdf/ensontammetinbildirikitabi.pdf, 2018
• [5] OpenSAMM, http://www.cs.unh.edu/~it666/reading_list/SDLC/opensamm_1.0.pdf, [Online]. (Erişim Tarihi: 05.06.2019)
• [6] OpenSAMM, https://www.opensamm.org/, [Online]. (Erişim Tarihi: 05.06.2019)
• [7] DOM Tabanlı Cross Site Scripting (XSS) Zafiyeti, [Online]. https://www.netsparker.com.tr/blog/web-guvenligi/dom- tabanli-cross-site-scripting-xss-zafiyeti/, [Online]. (Erişim Tarihi: 05.06.2019)
• [8] International Data Corporation (IDC), https://www.idc.com/about, [Online]. (Erişim Tarihi: 05.06.2019)
• [7] Julian Assange kimdir? https://www.bbc.com/turkce/haberler-dunya-39975457, [Online]. (Erişim Tarihi: 05.06.2019)
• [9] Siber saldırı ve doğal afetler enerji sektörü için risk oluşturuyor, http://www.konhaber.com/haber-siber_saldiri_ve_dogal_afetler_enerji_sektoru_icin_risk_olusturuyor-782802.html, [Online]. (Erişim Tarihi: 08.06.2019)
• [10] PHP htmlspecialchars() Fonksiyonu,https://www.w3schools.com/php/func_string_htmlspecialchars.asp, [Online]. (Erişim Tarihi: 08.06.2019)
• [11] Dijital in 2019, https://wearesocial.com/global-digital-report-2019, [Online]. (Erişim Tarihi: 10.11.2019)
• [12] BÜLBÜL, İ. Yeni Bir Eğitim Ortamı Olarak İnternet, https://dergipark.org.tr/tr/download/article-file/296658, [Online]. (Erişim Tarihi: 20.11.2019)
• [13] OWASP Top 10: Insufficient Logging & Monitoring Security Vulnerability Practical Overview, https://www.immuniweb.com/blog/OWASP-insufficient-logging-and-monitoring.html, 2018, [Online]. (Erişim Tarihi: 21.11.2019)
• [14] Top 10-2017 A8-Insecure Deserialization, https://www.owasp.org/index.php/Top_10-2017_A8-Insecure_Deserialization, [Online]. (Erişim Tarihi: 21.11.2019)
• [15] What is Insecure Deserialization?, https://www.acunetix.com/blog/articles/what-is-insecure-deserialization/, 2017, [Online]. (Erişim Tarihi: 21.11.2019)
• [16] OWASP 2013 ve 2017 yılı karşılaştırması, https://www.owasp.org/images/b/b0/OWASP_Top_10_2017_RC2_Final.pdf), 2017, [Online]. (Erişim Tarihi: 19.11.2019)