SlideShare a Scribd company logo

İşletim Sistemlerinde Güvenlik Tartışması

BGA Cyber Security
BGA Cyber Security
1 of 5
Download to read offline
GUVENLIKEGITIMLERI.COM Işletim Sistemlerinde Güvenlik Tartışması Linux mu daha güvenli Windows mu? Huzeyfe ÖNAL <huzeyfe@lifeoverip.net> 12/4/2009 [ Bu yazı günümüzde yaygın kullanılan işletim sistemlerinin güvenlik yönünden yorumsal karşılaştırmasını içermektedir. Tartışmaya daha çok açık kod, kapalı kod, yazılım yönünden bakılmıştır.]
Not: Bu yazı bugüne kadar çeşitli amaçlarla kullandığım işletim sistemleri üzerinde edindiğim tecrübelerin sonucudur ve kesin doğruluk içermez. Cevap aradığımız sorulardan bazıları; • • • • Bir işletim sisteminin güvenliğini hangi unsurlar belirler? Güvenlik düzey belirlemesi için standart var mı? Açık kodlu olmak bir sistemi daha güvenli kılar mı? Bir sistemin daha yaygın olması daha fazla açıklık aranmasına sebep olur mur? Güvenlik denilince olaya tek bir noktadan bakmak yanlıştır, bir işletim sisteminin ağ yapısı oldukça zayıf tasarlanmış olabilir fakat çok kullanıcılı yapısı üzerinde kullanıcı haklarında ileri düzey kontrol ve güvenlik imkanları sağlamış olabilir. Bunun için karşılaştırma yaparken tek bir noktaya odaklanmak yerine resmin genelini değerlendirmek daha doğrudur. Yazılımlar insan ürünüdür ve insan, doğası gereği hata yapar(yapabilir değil, yapar). Önemli olan hatanın ne kadar sürede giderilebileceği ve sonuçlarının neler olacağıdır. Bir yazılımcı hata yapar , yazdığı program istenildiği gibi çalışmayabilir. Bu, çoğu zaman kısa sürede giderilebilecek bir eksikliktir. Fakat bir protokolün tasarımında ya da yazılımın tasarımında hata yapılırsa bu kolay kolay giderilebilecek bir husus değildir. Nitekim son yıllarda özellikle Microsoft Windows işletim sisteminin tabiri caizse göbeğinde çıkan açıklar kanımca tasarım ve tasarımın getirdiği yazılımsal eksikliklerdendir. Öyle olmasa çıkan bir açığın kapatılması ardından , açığı istismar için yazılmış kodlarda yapılan değişiklikler ile işletim sistemi aynı açıktan defalarca etkilenmezdi. Aynı şekilde Internet trafiğini üzerinde taşıyan işletim sistemi IOS’da çıkan ve bazı işletim sistemlerinde(OpenBSD) yıllar önce giderilmiş olan basit mantık hataları bugün varolmazdı. şletim sistemlerinde güvenlik düzeyini belirleyen resmi, yansız bir kurum yok. Aslında var ama günümüz işletim sistemlerini analiz etmekten çok uzak bir yapı. Bu sebeple işletim sistemlerinin firmaları genellikle çeşitli güvenlik firmalarına testler yaptırarak en güvenli işletim sistemlerinin kendilerininki olduğunu söylerler. Burada atlanılan diğer bir konuda, işletim sistemi güvenliğine sadece yazılımsal olarak bakmaktır. Oysa birçok sistemin temel olarak kullandığı donanım mimarisi üzerinde yazılabilecek programların özelliklerini kısıtlar. Mesela günümüzde güvenlik açıklarının büyük çoğunluğunun sebebi Buffer overflow denilen bellek taşırma hadisesidir. Bir VMS sistem üzerinde kullanılan dile bağlı olarak Buffer overflow yapmak imkansızdır. Zira yazılımın üzerinde koştuğu donannım mimarisi bunu engellemektedir.
Açık Kaynak Kodlu sistemler neden daha güvenlidir? Ya da tam tersi.. Son yılların popüler ama bilinçsizce(?) yapılan tartışmalarından biri de açık kod yazılımlar üzerinedir. Bu tartışmada taraflar genelde ikiye ayrılarak siyah ve beyazı oynamaktadır. Bir taraf için bu sorunun cevabı tartışılmayacak kadar kesindir. Ever açık kaynak kodlu bir ürün her zaman kapalı koddan daha güvenlidir... Diğer taraf da kendince öne sürdüğü kıstaslara göre açık kodlu yazılımların kesinlikle güvenli olamayacacığını belirtir. Bu tartışmada 3. olarak sayılabilecek ama sesi cılız kalan bir taraf daha vardır. Bu taraf ise yazılan bir sistemin açık kaynak kodlu olmasından öte yazılanın nasıl yazıldığını irdeler ve sistemden ziyade onu yönetinin güvenlikde daha önemli rol oynadığına inanır. Eğer bir yazılım gerçekten iyi tasarlandı ve yazılan kodlar işini bilen mühendisler tarafından incelendi ise bu yazılımın güvenli olması için kodlarının açık olması gerekmez. Önemli olan yazılımın ne amaçla yazıldığıdır. Siz bir Firewall’u musterileriniz kolay kullansın önceliği ile tasarlar sonrada hayata geçirirseniz, müşterileriniz kolayca kullanacaktır fakat olaya müşteri gözü ile bakmayanlar (hackerlar) daha farklı şeyler bulacaklardır… Bir sistemin, yazılımın açık kaynak kodlu olması birçok avantajı yanında getirir. Genel olarak bakıldığında dezavantaj oluşturacak bir yanı yoktur. Yazılan kod işini bilen, bilmeyen onbinlerce(?) insan tarafından incelenerek belirli bir olgunluğa daha kısa sürede ulaşır. Eğer bu kapalı kod üzerinde sağlanabilirse aynı oran o yazılım için de geçerlidir. Belki amatör bir düşünce ama yazılımın amacı kalitesini belirler. Bir tarafta patronun soluğunu ensesinde hisseden yazılımcı, bir an önce bitsinde nasıl olursa olsun düşüncesinde. Diğer yanda bu işten zevk alan , belki normal işinin haricinde geceleri uykusundan zaman ayırarak bu işi yapan yazılımcı. Bunun için de önemli olan yazılımın esnekliği, tasarımıdır. Önünde kaygısı yok, hep daha iyi nasıl yapabilirim düşüncesi var. Ortaya çıkacak yazılımların kalitesi biraz da buna bağlıdır... Yaygın kullanım ne getirir? Linux mu daha güvenli Windows mu? tartışmalarının ana konularından biri de yaygın kullanım oranıdır. Genelde savunulan, bir işletim sisteminin yaygın kullanılması onun daha fazla insan tarafından kurcalanması, risk altında olması demektir. Bu fikir itiraz kabul edilmeyecek kadar doğrudur. Bu çerçeveden bakıldığında windows işletim sistemlerinde çıkan açıkların Linux sistemlerden çok olması doğaldır. Fakat burada genellikle hesaba katılmayan bu açıkların öyle bilgisayar meraklısı gençler tarafından rastgele bulunmadığıdır.
Bu açıkları bulmak(basit olanları değil) genellikle o konu üzerinde ileri düzey bilgi gerektirir. Ve işletim sistemlerinin mazisine baktığımızda UNIX sistemlerden anlayan “uzmanların“ daha çok olduğunu görebiliriz. Gerçi günümüzde olay biraz daha farklı mecralarda seyrediyor, insanlar para için ya da farklı amaçlar için uzmanı oldukları konularda işletim sistemlerini, yazılımları zorluyorlar ve buldukları açıkları internette paylaşıyorlar. Sonuç olarak bir işletim sisteminin yaygın kullanılması onun daha fazla risk altında olduğunu gösterir fakat çıkan açıkları tamamen bu sebebe bağlamak işin kolayına kaçmak olur. Hangisi daha güvenli? Yukarıda açıklamaya çalıştığım temel bilgiler ışığında günümüzdeki işletim sistemlerinin çoğu sınıfta kalıyor… Öncelikle Microsoft firması ağzı güvenlik yönünden çok yandığı için bu konuya oldukça önem veriyor. Yeni nesil işletim sisteminin çıkış tarihini de eklenecek güvenlik özellikleri sebebi ile erteliyor..Windows 2003 Microsoft’un güvenliğe ne kadar önem verdiğinin iyi göstergelerinden. şletim sistemi kurulduğunda default olarak herhangi bir servis aktif edilmiyor… Web sunucusu aktif edilecekse içerisinde istismar edilebilecek scriptler vs kaldırılmış. Bütün bunlar kullanıcı tarafında zorluk çıkaracak işlemler. Mesela sistem yöneticisi web sayfasında asp çalıştırabilmesi için A modülünün yüklü olması gerektiğini bilmelidir. Benzer durumları Linux dünyasında da görmek mümkün, işletim sisteminin çekirdeği olan “Linux“ için bunu söylemek o kadar kolay olmasa da Linux’u çekirdek olarak kullanan dağıtımlar genelde kötü durumda. Bunlar genellikle kalitesiz yazılımların denetimsiz bir şekilde işletim sistemine eklenmesinin sonucu. Hatırladığım kadarı ile Fedora Linux işletim sisteminin bir sürümünde ilk çıktığı gün 16 adet yama çıkarılmıştı. Red Hat, Ubuntu, Debian, Slackware gibi işini daha ciddiyetle yürüten Linux dağıtımlarında durum biraz daha iyi. Bu projeler genellikle belirli sorumluluklar altında geliştirildiği için sisteme eklenecek yazılımların kotnrolü daha iyi bir şekilde yapılmaktadır. Resmin diğer yarısında ise başka işletim sistemleri var. Özgür UNIX dağıtımı BSD’ler... Her biri farklı ve öz bir amaç için yola çıkmış bu işletim sistemleri ticari kaygıdan uzak bir şekilde yollarına devam etmekteler. şlerini iş olsun, göz doldursun diye değilde gerçekten o işi yapmış olmak için yaptıklarından çok bilinmiyorlar. Bunların içinde temel amacını güvenlik olarak belirlemiş ve bugüne kadar yaptıkları yapacaklarının teminatı olmuş bir işletim sistemi var: Adı OpenBSD. Yazdıkları her satır kodu tekrar tekrar inceleyen, bir yerde suistimale yer veren bir kod bulduklarında tüm sistemi bu kod için tarayan hatta bunu daha da geliştirip işletim sisteminin derleyicisine ekleyen bir sistem… Sitesinde yazdığı gibi “108 yılda uzaktan iki güvenlik açığı”. OpenBSD gerçek güvenlik arayanların birgün mutlaka uğrayacağı, uğramak zorunda olduğu bir işletim sistemi olarak biz güvenlik uzmanlarını bekliyor.
Kaynaklar http://www.linuxplanet.com/linuxplanet/interviews/4495/1/ http://www.operatingsystems.net/ http://www.theregister.co.uk/security/security_report_windows_vs_linux/ http://www.commercialventvac.com/~jeffs/OS_comparison.html

Recommended

FTP ve Güvenlik Duvarları
FTP ve Güvenlik DuvarlarıFTP ve Güvenlik Duvarları
FTP ve Güvenlik DuvarlarıBGA Cyber Security
 
Kali linux
Kali linuxKali linux
Kali linuxBGA Cyber Security
 
Holynix v2
Holynix v2Holynix v2
Holynix v2BGA Cyber Security
 
Holynix v1
Holynix v1Holynix v1
Holynix v1BGA Cyber Security
 
Sql, Sql Injection ve Sqlmap Kullanımı
Sql, Sql Injection ve Sqlmap KullanımıSql, Sql Injection ve Sqlmap Kullanımı
Sql, Sql Injection ve Sqlmap KullanımıBGA Cyber Security
 
DDoS Saldırı Analizi - DDoS Forensics
DDoS Saldırı Analizi - DDoS ForensicsDDoS Saldırı Analizi - DDoS Forensics
DDoS Saldırı Analizi - DDoS ForensicsBGA Cyber Security
 
Hping ile IP/ICMP ve UDP Paketleri Oluşturma
Hping ile IP/ICMP ve UDP Paketleri OluşturmaHping ile IP/ICMP ve UDP Paketleri Oluşturma
Hping ile IP/ICMP ve UDP Paketleri OluşturmaBGA Cyber Security
 
TCP/IP Ağlarda Parçalanmış Paketler ve Etkileri
TCP/IP Ağlarda Parçalanmış Paketler ve EtkileriTCP/IP Ağlarda Parçalanmış Paketler ve Etkileri
TCP/IP Ağlarda Parçalanmış Paketler ve EtkileriBGA Cyber Security
 

Recommended

FTP ve Güvenlik Duvarları
FTP ve Güvenlik DuvarlarıFTP ve Güvenlik Duvarları
FTP ve Güvenlik DuvarlarıBGA Cyber Security
 
Kali linux
Kali linuxKali linux
Kali linuxBGA Cyber Security
 
Holynix v2
Holynix v2Holynix v2
Holynix v2BGA Cyber Security
 
Holynix v1
Holynix v1Holynix v1
Holynix v1BGA Cyber Security
 
Sql, Sql Injection ve Sqlmap Kullanımı
Sql, Sql Injection ve Sqlmap KullanımıSql, Sql Injection ve Sqlmap Kullanımı
Sql, Sql Injection ve Sqlmap KullanımıBGA Cyber Security
 
DDoS Saldırı Analizi - DDoS Forensics
DDoS Saldırı Analizi - DDoS ForensicsDDoS Saldırı Analizi - DDoS Forensics
DDoS Saldırı Analizi - DDoS ForensicsBGA Cyber Security
 
Hping ile IP/ICMP ve UDP Paketleri Oluşturma
Hping ile IP/ICMP ve UDP Paketleri OluşturmaHping ile IP/ICMP ve UDP Paketleri Oluşturma
Hping ile IP/ICMP ve UDP Paketleri OluşturmaBGA Cyber Security
 
TCP/IP Ağlarda Parçalanmış Paketler ve Etkileri
TCP/IP Ağlarda Parçalanmış Paketler ve EtkileriTCP/IP Ağlarda Parçalanmış Paketler ve Etkileri
TCP/IP Ağlarda Parçalanmış Paketler ve EtkileriBGA Cyber Security
 
Hping Kullanarak TCP/IP Paketleriyle Oynama
Hping Kullanarak TCP/IP Paketleriyle OynamaHping Kullanarak TCP/IP Paketleriyle Oynama
Hping Kullanarak TCP/IP Paketleriyle OynamaBGA Cyber Security
 
Nmap & Hping
Nmap & HpingNmap & Hping
Nmap & HpingBGA Cyber Security
 
Netscreen Firewallarda DDoS Ayarları
Netscreen Firewallarda DDoS AyarlarıNetscreen Firewallarda DDoS Ayarları
Netscreen Firewallarda DDoS AyarlarıBGA Cyber Security
 
Binary Modification [Patching]
Binary Modification [Patching]Binary Modification [Patching]
Binary Modification [Patching]BGA Cyber Security
 
Örnek Spam Çözümü: TTNET SMTP Portunu Engelleme
Örnek Spam Çözümü: TTNET SMTP Portunu EngellemeÖrnek Spam Çözümü: TTNET SMTP Portunu Engelleme
Örnek Spam Çözümü: TTNET SMTP Portunu EngellemeBGA Cyber Security
 
SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri AtlatmakSSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri AtlatmakBGA Cyber Security
 
DNS Hizmetine Yönetlik DoS/DDoS Saldırıları
DNS Hizmetine Yönetlik DoS/DDoS SaldırılarıDNS Hizmetine Yönetlik DoS/DDoS Saldırıları
DNS Hizmetine Yönetlik DoS/DDoS SaldırılarıBGA Cyber Security
 
E-posta Başlıklarından Bilgi Toplama
E-posta Başlıklarından Bilgi ToplamaE-posta Başlıklarından Bilgi Toplama
E-posta Başlıklarından Bilgi ToplamaBGA Cyber Security
 
W3af ile Web Uygulama Güvenlik Testleri – II
W3af ile Web Uygulama Güvenlik Testleri – IIW3af ile Web Uygulama Güvenlik Testleri – II
W3af ile Web Uygulama Güvenlik Testleri – IIBGA Cyber Security
 
Web Application Firewall Tercih Rehberi
Web Application Firewall Tercih RehberiWeb Application Firewall Tercih Rehberi
Web Application Firewall Tercih RehberiBGA Cyber Security
 
Bilişim Suçlarında IP Adres Analizi
Bilişim Suçlarında IP Adres AnaliziBilişim Suçlarında IP Adres Analizi
Bilişim Suçlarında IP Adres AnaliziBGA Cyber Security
 
Web Sunucularına Yönelik DDoS Saldırıları
Web Sunucularına Yönelik DDoS SaldırılarıWeb Sunucularına Yönelik DDoS Saldırıları
Web Sunucularına Yönelik DDoS SaldırılarıBGA Cyber Security
 
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama Kitabı
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama KitabıWeb ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama Kitabı
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama KitabıBGA Cyber Security
 
HTTPS Ne Kadar Güvenlidir?(sslstrip)
HTTPS Ne Kadar Güvenlidir?(sslstrip)HTTPS Ne Kadar Güvenlidir?(sslstrip)
HTTPS Ne Kadar Güvenlidir?(sslstrip)BGA Cyber Security
 
Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El KitabıBGA Cyber Security
 
Hping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıHping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıBGA Cyber Security
 
SIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMASIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMABGA Cyber Security
 
Güvenlik Testlerinde Bilgi Toplama
Güvenlik Testlerinde Bilgi ToplamaGüvenlik Testlerinde Bilgi Toplama
Güvenlik Testlerinde Bilgi ToplamaBGA Cyber Security
 
Nessus Kullanım Kitapçığı
Nessus Kullanım KitapçığıNessus Kullanım Kitapçığı
Nessus Kullanım KitapçığıBGA Cyber Security
 
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiBGA Cyber Security
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfBGA Cyber Security
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiBGA Cyber Security
 

More Related Content

Viewers also liked

Hping Kullanarak TCP/IP Paketleriyle Oynama
Hping Kullanarak TCP/IP Paketleriyle OynamaHping Kullanarak TCP/IP Paketleriyle Oynama
Hping Kullanarak TCP/IP Paketleriyle OynamaBGA Cyber Security
 
Netscreen Firewallarda DDoS Ayarları
Netscreen Firewallarda DDoS AyarlarıNetscreen Firewallarda DDoS Ayarları
Netscreen Firewallarda DDoS AyarlarıBGA Cyber Security
 
Binary Modification [Patching]
Binary Modification [Patching]Binary Modification [Patching]
Binary Modification [Patching]BGA Cyber Security
 
Örnek Spam Çözümü: TTNET SMTP Portunu Engelleme
Örnek Spam Çözümü: TTNET SMTP Portunu EngellemeÖrnek Spam Çözümü: TTNET SMTP Portunu Engelleme
Örnek Spam Çözümü: TTNET SMTP Portunu EngellemeBGA Cyber Security
 
SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri AtlatmakSSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri AtlatmakBGA Cyber Security
 
DNS Hizmetine Yönetlik DoS/DDoS Saldırıları
DNS Hizmetine Yönetlik DoS/DDoS SaldırılarıDNS Hizmetine Yönetlik DoS/DDoS Saldırıları
DNS Hizmetine Yönetlik DoS/DDoS SaldırılarıBGA Cyber Security
 
E-posta Başlıklarından Bilgi Toplama
E-posta Başlıklarından Bilgi ToplamaE-posta Başlıklarından Bilgi Toplama
E-posta Başlıklarından Bilgi ToplamaBGA Cyber Security
 
W3af ile Web Uygulama Güvenlik Testleri – II
W3af ile Web Uygulama Güvenlik Testleri – IIW3af ile Web Uygulama Güvenlik Testleri – II
W3af ile Web Uygulama Güvenlik Testleri – IIBGA Cyber Security
 
Web Application Firewall Tercih Rehberi
Web Application Firewall Tercih RehberiWeb Application Firewall Tercih Rehberi
Web Application Firewall Tercih RehberiBGA Cyber Security
 
Bilişim Suçlarında IP Adres Analizi
Bilişim Suçlarında IP Adres AnaliziBilişim Suçlarında IP Adres Analizi
Bilişim Suçlarında IP Adres AnaliziBGA Cyber Security
 
Web Sunucularına Yönelik DDoS Saldırıları
Web Sunucularına Yönelik DDoS SaldırılarıWeb Sunucularına Yönelik DDoS Saldırıları
Web Sunucularına Yönelik DDoS SaldırılarıBGA Cyber Security
 
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama Kitabı
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama KitabıWeb ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama Kitabı
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama KitabıBGA Cyber Security
 
HTTPS Ne Kadar Güvenlidir?(sslstrip)
HTTPS Ne Kadar Güvenlidir?(sslstrip)HTTPS Ne Kadar Güvenlidir?(sslstrip)
HTTPS Ne Kadar Güvenlidir?(sslstrip)BGA Cyber Security
 
Hping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıHping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıBGA Cyber Security
 
SIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMASIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMABGA Cyber Security
 
Güvenlik Testlerinde Bilgi Toplama
Güvenlik Testlerinde Bilgi ToplamaGüvenlik Testlerinde Bilgi Toplama
Güvenlik Testlerinde Bilgi ToplamaBGA Cyber Security
 
Nessus Kullanım Kitapçığı
Nessus Kullanım KitapçığıNessus Kullanım Kitapçığı
Nessus Kullanım KitapçığıBGA Cyber Security
 

Viewers also liked (19)

Hping Kullanarak TCP/IP Paketleriyle Oynama
Hping Kullanarak TCP/IP Paketleriyle OynamaHping Kullanarak TCP/IP Paketleriyle Oynama
Hping Kullanarak TCP/IP Paketleriyle Oynama
 
Nmap & Hping
Nmap & HpingNmap & Hping
Nmap & Hping
 
Netscreen Firewallarda DDoS Ayarları
Netscreen Firewallarda DDoS AyarlarıNetscreen Firewallarda DDoS Ayarları
Netscreen Firewallarda DDoS Ayarları
 
Binary Modification [Patching]
Binary Modification [Patching]Binary Modification [Patching]
Binary Modification [Patching]
 
Örnek Spam Çözümü: TTNET SMTP Portunu Engelleme
Örnek Spam Çözümü: TTNET SMTP Portunu EngellemeÖrnek Spam Çözümü: TTNET SMTP Portunu Engelleme
Örnek Spam Çözümü: TTNET SMTP Portunu Engelleme
 
SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri AtlatmakSSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
SSH Tünelleme ile İçerik Filtreleyicileri Atlatmak
 
DNS Hizmetine Yönetlik DoS/DDoS Saldırıları
DNS Hizmetine Yönetlik DoS/DDoS SaldırılarıDNS Hizmetine Yönetlik DoS/DDoS Saldırıları
DNS Hizmetine Yönetlik DoS/DDoS Saldırıları
 
E-posta Başlıklarından Bilgi Toplama
E-posta Başlıklarından Bilgi ToplamaE-posta Başlıklarından Bilgi Toplama
E-posta Başlıklarından Bilgi Toplama
 
W3af ile Web Uygulama Güvenlik Testleri – II
W3af ile Web Uygulama Güvenlik Testleri – IIW3af ile Web Uygulama Güvenlik Testleri – II
W3af ile Web Uygulama Güvenlik Testleri – II
 
Web Application Firewall Tercih Rehberi
Web Application Firewall Tercih RehberiWeb Application Firewall Tercih Rehberi
Web Application Firewall Tercih Rehberi
 
Bilişim Suçlarında IP Adres Analizi
Bilişim Suçlarında IP Adres AnaliziBilişim Suçlarında IP Adres Analizi
Bilişim Suçlarında IP Adres Analizi
 
Web Sunucularına Yönelik DDoS Saldırıları
Web Sunucularına Yönelik DDoS SaldırılarıWeb Sunucularına Yönelik DDoS Saldırıları
Web Sunucularına Yönelik DDoS Saldırıları
 
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama Kitabı
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama KitabıWeb ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama Kitabı
Web ve Mobil Uygulama Güvenlik Testleri Eğitimi Uygulama Kitabı
 
HTTPS Ne Kadar Güvenlidir?(sslstrip)
HTTPS Ne Kadar Güvenlidir?(sslstrip)HTTPS Ne Kadar Güvenlidir?(sslstrip)
HTTPS Ne Kadar Güvenlidir?(sslstrip)
 
Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El Kitabı
 
Hping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıHping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif Çalışmaları
 
SIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMASIZMA TESTLERİNDE BİLGİ TOPLAMA
SIZMA TESTLERİNDE BİLGİ TOPLAMA
 
Güvenlik Testlerinde Bilgi Toplama
Güvenlik Testlerinde Bilgi ToplamaGüvenlik Testlerinde Bilgi Toplama
Güvenlik Testlerinde Bilgi Toplama
 
Nessus Kullanım Kitapçığı
Nessus Kullanım KitapçığıNessus Kullanım Kitapçığı
Nessus Kullanım Kitapçığı
 

More from BGA Cyber Security

WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiBGA Cyber Security
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfBGA Cyber Security
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiBGA Cyber Security
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?BGA Cyber Security
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 
Webinar: Popüler black marketler
Webinar: Popüler black marketlerWebinar: Popüler black marketler
Webinar: Popüler black marketlerBGA Cyber Security
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıBGA Cyber Security
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020BGA Cyber Security
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriBGA Cyber Security
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakBGA Cyber Security
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIBGA Cyber Security
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiBGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziBGA Cyber Security
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİBGA Cyber Security
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Cyber Security
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerBGA Cyber Security
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsBGA Cyber Security
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaBGA Cyber Security
 

More from BGA Cyber Security (20)

WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
 
Webinar: Popüler black marketler
Webinar: Popüler black marketlerWebinar: Popüler black marketler
Webinar: Popüler black marketler
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 Raporu
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
 

İşletim Sistemlerinde Güvenlik Tartışması

  • 1. GUVENLIKEGITIMLERI.COM Işletim Sistemlerinde Güvenlik Tartışması Linux mu daha güvenli Windows mu? Huzeyfe ÖNAL <huzeyfe@lifeoverip.net> 12/4/2009 [ Bu yazı günümüzde yaygın kullanılan işletim sistemlerinin güvenlik yönünden yorumsal karşılaştırmasını içermektedir. Tartışmaya daha çok açık kod, kapalı kod, yazılım yönünden bakılmıştır.]
  • 2. Not: Bu yazı bugüne kadar çeşitli amaçlarla kullandığım işletim sistemleri üzerinde edindiğim tecrübelerin sonucudur ve kesin doğruluk içermez. Cevap aradığımız sorulardan bazıları; • • • • Bir işletim sisteminin güvenliğini hangi unsurlar belirler? Güvenlik düzey belirlemesi için standart var mı? Açık kodlu olmak bir sistemi daha güvenli kılar mı? Bir sistemin daha yaygın olması daha fazla açıklık aranmasına sebep olur mur? Güvenlik denilince olaya tek bir noktadan bakmak yanlıştır, bir işletim sisteminin ağ yapısı oldukça zayıf tasarlanmış olabilir fakat çok kullanıcılı yapısı üzerinde kullanıcı haklarında ileri düzey kontrol ve güvenlik imkanları sağlamış olabilir. Bunun için karşılaştırma yaparken tek bir noktaya odaklanmak yerine resmin genelini değerlendirmek daha doğrudur. Yazılımlar insan ürünüdür ve insan, doğası gereği hata yapar(yapabilir değil, yapar). Önemli olan hatanın ne kadar sürede giderilebileceği ve sonuçlarının neler olacağıdır. Bir yazılımcı hata yapar , yazdığı program istenildiği gibi çalışmayabilir. Bu, çoğu zaman kısa sürede giderilebilecek bir eksikliktir. Fakat bir protokolün tasarımında ya da yazılımın tasarımında hata yapılırsa bu kolay kolay giderilebilecek bir husus değildir. Nitekim son yıllarda özellikle Microsoft Windows işletim sisteminin tabiri caizse göbeğinde çıkan açıklar kanımca tasarım ve tasarımın getirdiği yazılımsal eksikliklerdendir. Öyle olmasa çıkan bir açığın kapatılması ardından , açığı istismar için yazılmış kodlarda yapılan değişiklikler ile işletim sistemi aynı açıktan defalarca etkilenmezdi. Aynı şekilde Internet trafiğini üzerinde taşıyan işletim sistemi IOS’da çıkan ve bazı işletim sistemlerinde(OpenBSD) yıllar önce giderilmiş olan basit mantık hataları bugün varolmazdı. şletim sistemlerinde güvenlik düzeyini belirleyen resmi, yansız bir kurum yok. Aslında var ama günümüz işletim sistemlerini analiz etmekten çok uzak bir yapı. Bu sebeple işletim sistemlerinin firmaları genellikle çeşitli güvenlik firmalarına testler yaptırarak en güvenli işletim sistemlerinin kendilerininki olduğunu söylerler. Burada atlanılan diğer bir konuda, işletim sistemi güvenliğine sadece yazılımsal olarak bakmaktır. Oysa birçok sistemin temel olarak kullandığı donanım mimarisi üzerinde yazılabilecek programların özelliklerini kısıtlar. Mesela günümüzde güvenlik açıklarının büyük çoğunluğunun sebebi Buffer overflow denilen bellek taşırma hadisesidir. Bir VMS sistem üzerinde kullanılan dile bağlı olarak Buffer overflow yapmak imkansızdır. Zira yazılımın üzerinde koştuğu donannım mimarisi bunu engellemektedir.
  • 3. Açık Kaynak Kodlu sistemler neden daha güvenlidir? Ya da tam tersi.. Son yılların popüler ama bilinçsizce(?) yapılan tartışmalarından biri de açık kod yazılımlar üzerinedir. Bu tartışmada taraflar genelde ikiye ayrılarak siyah ve beyazı oynamaktadır. Bir taraf için bu sorunun cevabı tartışılmayacak kadar kesindir. Ever açık kaynak kodlu bir ürün her zaman kapalı koddan daha güvenlidir... Diğer taraf da kendince öne sürdüğü kıstaslara göre açık kodlu yazılımların kesinlikle güvenli olamayacacığını belirtir. Bu tartışmada 3. olarak sayılabilecek ama sesi cılız kalan bir taraf daha vardır. Bu taraf ise yazılan bir sistemin açık kaynak kodlu olmasından öte yazılanın nasıl yazıldığını irdeler ve sistemden ziyade onu yönetinin güvenlikde daha önemli rol oynadığına inanır. Eğer bir yazılım gerçekten iyi tasarlandı ve yazılan kodlar işini bilen mühendisler tarafından incelendi ise bu yazılımın güvenli olması için kodlarının açık olması gerekmez. Önemli olan yazılımın ne amaçla yazıldığıdır. Siz bir Firewall’u musterileriniz kolay kullansın önceliği ile tasarlar sonrada hayata geçirirseniz, müşterileriniz kolayca kullanacaktır fakat olaya müşteri gözü ile bakmayanlar (hackerlar) daha farklı şeyler bulacaklardır… Bir sistemin, yazılımın açık kaynak kodlu olması birçok avantajı yanında getirir. Genel olarak bakıldığında dezavantaj oluşturacak bir yanı yoktur. Yazılan kod işini bilen, bilmeyen onbinlerce(?) insan tarafından incelenerek belirli bir olgunluğa daha kısa sürede ulaşır. Eğer bu kapalı kod üzerinde sağlanabilirse aynı oran o yazılım için de geçerlidir. Belki amatör bir düşünce ama yazılımın amacı kalitesini belirler. Bir tarafta patronun soluğunu ensesinde hisseden yazılımcı, bir an önce bitsinde nasıl olursa olsun düşüncesinde. Diğer yanda bu işten zevk alan , belki normal işinin haricinde geceleri uykusundan zaman ayırarak bu işi yapan yazılımcı. Bunun için de önemli olan yazılımın esnekliği, tasarımıdır. Önünde kaygısı yok, hep daha iyi nasıl yapabilirim düşüncesi var. Ortaya çıkacak yazılımların kalitesi biraz da buna bağlıdır... Yaygın kullanım ne getirir? Linux mu daha güvenli Windows mu? tartışmalarının ana konularından biri de yaygın kullanım oranıdır. Genelde savunulan, bir işletim sisteminin yaygın kullanılması onun daha fazla insan tarafından kurcalanması, risk altında olması demektir. Bu fikir itiraz kabul edilmeyecek kadar doğrudur. Bu çerçeveden bakıldığında windows işletim sistemlerinde çıkan açıkların Linux sistemlerden çok olması doğaldır. Fakat burada genellikle hesaba katılmayan bu açıkların öyle bilgisayar meraklısı gençler tarafından rastgele bulunmadığıdır.
  • 4. Bu açıkları bulmak(basit olanları değil) genellikle o konu üzerinde ileri düzey bilgi gerektirir. Ve işletim sistemlerinin mazisine baktığımızda UNIX sistemlerden anlayan “uzmanların“ daha çok olduğunu görebiliriz. Gerçi günümüzde olay biraz daha farklı mecralarda seyrediyor, insanlar para için ya da farklı amaçlar için uzmanı oldukları konularda işletim sistemlerini, yazılımları zorluyorlar ve buldukları açıkları internette paylaşıyorlar. Sonuç olarak bir işletim sisteminin yaygın kullanılması onun daha fazla risk altında olduğunu gösterir fakat çıkan açıkları tamamen bu sebebe bağlamak işin kolayına kaçmak olur. Hangisi daha güvenli? Yukarıda açıklamaya çalıştığım temel bilgiler ışığında günümüzdeki işletim sistemlerinin çoğu sınıfta kalıyor… Öncelikle Microsoft firması ağzı güvenlik yönünden çok yandığı için bu konuya oldukça önem veriyor. Yeni nesil işletim sisteminin çıkış tarihini de eklenecek güvenlik özellikleri sebebi ile erteliyor..Windows 2003 Microsoft’un güvenliğe ne kadar önem verdiğinin iyi göstergelerinden. şletim sistemi kurulduğunda default olarak herhangi bir servis aktif edilmiyor… Web sunucusu aktif edilecekse içerisinde istismar edilebilecek scriptler vs kaldırılmış. Bütün bunlar kullanıcı tarafında zorluk çıkaracak işlemler. Mesela sistem yöneticisi web sayfasında asp çalıştırabilmesi için A modülünün yüklü olması gerektiğini bilmelidir. Benzer durumları Linux dünyasında da görmek mümkün, işletim sisteminin çekirdeği olan “Linux“ için bunu söylemek o kadar kolay olmasa da Linux’u çekirdek olarak kullanan dağıtımlar genelde kötü durumda. Bunlar genellikle kalitesiz yazılımların denetimsiz bir şekilde işletim sistemine eklenmesinin sonucu. Hatırladığım kadarı ile Fedora Linux işletim sisteminin bir sürümünde ilk çıktığı gün 16 adet yama çıkarılmıştı. Red Hat, Ubuntu, Debian, Slackware gibi işini daha ciddiyetle yürüten Linux dağıtımlarında durum biraz daha iyi. Bu projeler genellikle belirli sorumluluklar altında geliştirildiği için sisteme eklenecek yazılımların kotnrolü daha iyi bir şekilde yapılmaktadır. Resmin diğer yarısında ise başka işletim sistemleri var. Özgür UNIX dağıtımı BSD’ler... Her biri farklı ve öz bir amaç için yola çıkmış bu işletim sistemleri ticari kaygıdan uzak bir şekilde yollarına devam etmekteler. şlerini iş olsun, göz doldursun diye değilde gerçekten o işi yapmış olmak için yaptıklarından çok bilinmiyorlar. Bunların içinde temel amacını güvenlik olarak belirlemiş ve bugüne kadar yaptıkları yapacaklarının teminatı olmuş bir işletim sistemi var: Adı OpenBSD. Yazdıkları her satır kodu tekrar tekrar inceleyen, bir yerde suistimale yer veren bir kod bulduklarında tüm sistemi bu kod için tarayan hatta bunu daha da geliştirip işletim sisteminin derleyicisine ekleyen bir sistem… Sitesinde yazdığı gibi “108 yılda uzaktan iki güvenlik açığı”. OpenBSD gerçek güvenlik arayanların birgün mutlaka uğrayacağı, uğramak zorunda olduğu bir işletim sistemi olarak biz güvenlik uzmanlarını bekliyor.