SonarQube Kullanıcıları Tehlikede!

SonarQube Kullanıcıları Tehlikede
SonarQube Kullanıcıları Tehlikede

SonarQube kaynak kodu yönetim aracı olarak bir çok kuruluş tarafından kullanılmaktadır. Yazılımın temel kullanım amacı yazılım geliştiriciler tarafında yazılan kodların herhangi bir güvenlik açığı barındırmadığından emin olmaktır. Ancak tüm teknolojik ürünlerde olduğu gibi bu yazılımın da kurulumu ve konfigürasyonu düzgün yapılandırılmadığında kullanıcıların başlarına neler gelebiliyor aşağıdaki haberden detayını okuyabilirsiniz.

Tüm yazılımların standart bir kurulum ve konfigürasyon talimatı vardır. Yazılımların standart kurulumlarda yazılıma erişim için varsayılan bir “bağlantı noktası (port)”, bir yetkili “kullanıcı adı” ve “şifresi” ile kurulur.

SonarQube de varsayılan bağlantı noktası “9000”, yetkili kullanıcı adı “admin” ve şifresi de “admin” olarak belirlenmiş. Yapılması gereken standart kurulumdan sonra varsayılan tanımların değiştirilmesi gerekmektedir. Ve canlı kullanıma alınmadan tercihen yazılımı kuran ekibin dışında farklı bir ekip tarafından güvenlik kontrollerinden geçirilmesi ve sızma testi yapılması gereklidir.

Peki bu standart tanımların değiştirilmesi neden atlanıyor? Hata kimde? Bu tip hataları önlemek için neler yapılmalı?

Ençok yaşanan durumlardan bir tanesi;

Kurum bir yazılım satın alacak ve satın alma öncesi yazılımın özellikleri görülmek üzere ilgili ekip bu yazılımı bir test ortamına kurar/kurulmasını ister. Yazılım test amaçlı kurulduğu için standart kurulum ve konfigürasyon adımlarına göre yapılır! Yazılım o kadar beğenilmişdir ki test ortamına kurulan altyapı direkt canlı kullanım ortamına dönüşmüştür! Büyük kurumların IT ortamları o kadar yoğundur ki kimse dönüp test amaçlı kurulan o yazılımı sıfırdan güvenlik statandartlarına göre kurmayı akıl edemez yada unutur!

Eminim yukardaki örneği bir çoğunuz yaşamıştır. Burada hata yazılımı test amaçlı kuran/kurulmasını isteyen ekipte doğal olarak. Yazılımın testleri tamamlandıktan sonra silmesi ve canlı kullanım ortamı için sıfırdan ve güvenlik standartlarına uygun bir şekilde yeniden kurması/kurulmasını istemesi gerekmektedir.

Bu durumlara karşı en etkili yöntem yazılımın kurulacağı altyapıda işletim sistemi lisansını süreli vermektir. İşletim sistemi lisansı 30 yada 60 gün gibi süre ile sınırlandırıldığında zaman dolunca sistem açılmayacağı için yazılım kullanılamayacaktır.

Diğer bir yöntem, test amaçlı yazılımların çalıştığı sistemlerin bulunduğu ağı canlı kullanım amaçlı sistemlerin bulunduğu ağdan tamamen izole etmektir. Ayrıca test sistemleri ağından canlı sistemlerin bulunduğu ağa sistem taşınmasını değişiklik yönetim sürecine ve katı bir onay sürecine bağlayın. Bu taşıma öncesi elinizde bir kontrol listesi bulunsun ve bu kontrol listesinde mutlaka bu sistemin ve üzerinde çalışan yazılımın güvenlik kontrolleri yer alsın.

Ayrıca yazılımı ve üzerinde çalıştığı sistemi sızma testine tabii tutun. Tabii ki bu sızma testini konusunda uzman üçüncü bir göz yapsın.

Tüm bunları yapma fırsatı bulamadınız ve bir şekilde sizin bilginiz haricinde canlı sistemleri ağına yeni bir sistem ve üzerinde yukardaki gibi bir yazılım kuruldu (Gölge BT, Shadow IT). Bu durumu yakalamak için canlı sistemler ağında düzenli olarak varlık keşfi (asset discovery) çalıştırmalısınız. Varlık yönetim veri tabanınıza (UCMDB) kayıtlı olmayan yeni bir varlık var mı düzenli olarak mümkünse her gün hatta anlık keşif yapmalısınız.

Peki siz bu örnekte anlattığımın dışında nasıl durumlarla karşılaşıyorsunuz ve bunlar nasıl önlüyorsunuz? Yorumlar kısmında paylaşırsanız sevinirim.

Şimdi SonarQuebe ile ilgili haberin detayına gelelim

Bu haber “https://www.zdnet.com/article/fbi-hackers-stole-source-code-from-us-government-agencies-and-private-companies/” adresinden derlenmiştir. Detay ve haberin orjinali için yukardaki adresi ziyaret edebilirsiniz.

Federal Araştırma Bürosu, tehdit aktörlerinin ABD devlet kurumları ve özel işletmelerden kaynak kodu depolarına erişmek ve bunları çalmak için yanlış yapılandırılmış SonarQube uygulamalarını kötüye kullandıklarına dair bir güvenlik uyarısı gönderdi.

FBI,  tarafından gönderilen bir uyarıda , en az Nisan 2020’den bu yana saldırıların  gerçekleştiğini ve bu hafta web sitesinde kamuoyuna açıklandığını söyledi.

Uyarı , şirketlerin yazılım kodlarını canlı ortamlarına almadan önce kaynak kodlarını test etmek ve güvenlik açıklarını keşfetmek için yazılım geliştirme altyapılarına entegre olarak kullandıkları web tabanlı bir uygulama olan SonarQube sahiplerini ilgilendirmektedir.

SonarQube uygulamaları web sunucularına yüklenir ve BitBucket, GitHub veya GitLab hesapları gibi kaynak kodu barındırma sistemlerine veya Azure DevOps sistemlerine entegre edilir. Ancak FBI, bazı şirketlerin bu sistemleri korumasız bıraktığını, varsayılan yapılandırmalarında (bağlantı noktası 9000’de) varsayılan yönetici kimlik bilgileriyle (admin / admin) çalıştığını iletmiş.

FBI yetkilileri, tehdit aktörlerinin SonarQube u bu şekilde yanlış yapılandıran kurumların kaynak kodu depolarına ulaşarak kurumlara ait özel / hassas verileri kötüye kullandığını söylüyor.

Manşet

Global Altyapı Ortaklarından Yeni Yapay Zeka Ortaklığı: Veri Merkezleri ve Güç Altyapısına Yatırım

Global Altyapı Ortaklarından Yeni Yapay Zeka Ortaklığı. Veri Merkezleri ve Güç Altyapısına Yatırım. Global Infrastructure Partners (GIP), BlackRock, Microsoft ve MGX, yapay zeka (AI) teknolojilerine […]

Müzik ve Hafıza
Bilim

Müzik ve Hafıza

Georgia Institute of Technology tarafından gerçekleştirilen “Müzik ve Hafıza” konulu araştırma, müziğin bilişsel süreçler ve hafıza üzerindeki etkilerine odaklanan önemli bulgular sunuyor. Bu araştırma, özellikle […]

Bilim

Magnon-Fonon Fermi Rezonansı

Araştırma ekipleri bir antiferromanyette magnon-fonon Fermi rezonansını keşfetti. Yakında, veri depolama merkezlerinin dünya enerji üretiminin neredeyse %10’unu tüketmesi bekleniyor. Bu artış, diğer şeylerin yanı sıra, […]

Manşet

Jeodezik Kubbeler

Jeodezik kubbeler, mimari ve mühendislik alanlarında dikkat çeken, işlevsel ve estetik yapılar olarak bilinir. Bu yapılar, ilk olarak 20. yüzyılın başlarında ortaya çıkmış ve zamanla […]

dunya nufusunda zirve
Manşet

Dünya Nüfusunda Zirve

Dünya Nüfusunda Zirve: Gelecekteki Tahminler ve Nedenleri. Son yıllarda dünya nüfusunun geleceği ile ilgili çeşitli tahminler ve senaryolar öne sürülmüştür. Birleşmiş Milletler’in (BM) son raporları, […]

akilli toprak
Bilim

Akıllı Toprak

Akıllık Toprak: Sürdürülebilir Tarım İçin Kendi Kendini Sulayan ve Gübreleyen Yüzeyler. Günümüzde tarım sektörü, artan nüfus ve iklim değişikliği gibi faktörlerle karşı karşıya kalırken, sürdürülebilir […]

nato inovasyon fonu
Manşet

NATO Inovasyon Fonu

Son yıllarda Avrupa’da savunma teknolojisi girişimlerine yapılan yatırımlar hız kazandı. NATO’nun 1 milyar euroluk girişim sermayesi fonunun başındaki Andrea Traversone, Avrupa’nın ABD’deki büyük teknoloji şirketlerine […]

kusaklararasi yoksullasma
Manşet

Kuşaklararası Yoksullaşma

Kuşaklar arası yoksullaşma, ekonomik eşitsizlik ve fırsat adaletsizliği gibi konular, günümüz toplumlarının en önemli sorunlarından biri haline gelmiştir. Baby boomer kuşağından başlayarak, X kuşağı, Y […]

maf antrenman yontemi
Koşu

MAF Antrenman Yöntemi

MAF (Maximum Aerobic Function), Dr. Philip Maffetone tarafından geliştirilen bir antrenman yöntemidir. Bu yöntem, aerobik kapasiteyi maksimize ederek sporcuların daha verimli ve sağlıklı bir şekilde […]

Basketbolda anda olmak, en yüksek performansa yol açan zihinsel bir durumdur. Tabii ki sadece Basketbolda değil, hem takım hem de bireysel tüm sporlarda, aslında odaklanmak gereken her ne iş yapıyorsanız Anda olduğunuzda, tamamen kilitlenirsiniz ve dikkatinizi dağıtan şeyleri engelleyebilirsiniz, bu da her ne yapıyorsanız en iyi şekilde yapmanıza yardımcı olur. Bu yazıda size öncelikle basketbolda antrenmanlarda ve maçlarda anda nasıl daha fazla kalabileceğinizle ilgili bilgiler bulacaksınız.
Manşet

Basketbolda Anda Olmak

Basketbolda anda olmak, en yüksek performansa yol açan zihinsel bir durumdur. Tabii ki sadece Basketbolda değil, hem takım hem de bireysel tüm sporlarda, aslında odaklanmak […]

Elon Musk tarafından kurulan Neuralink beyin implantı teknolojisini ilk hastasına uygulaması ile ilgili bir haber yayınlamıştık.  Elon Musk'ın beyin-bilgisayar arayüzü firması Neuralink, ilk hastası Noland Arbaugh'un düşünceleriyle bir bilgisayar imlecini kontrol ettiği bir video yayınladı. Elon Musk tarafından kurulan beyin-bilgisayar arayüzü şirketi Neuralink, firmanın implantının "hayatını değiştirdiğini" söyleyen ilk hastasının kimliğini açıkladı. Ancak uzmanlar, Nueralink'in mevcut araştırma çabalarını kopyalamanın ötesinde bir şey yapıp yapmadığının henüz net olmadığını söylüyor.
Manşet

Neuralink

Elon Musk tarafından kurulan Neuralink beyin implantı teknolojisini ilk hastasına uygulaması ile ilgili bir haber yayınlamıştık.  Elon Musk’ın beyin-bilgisayar arayüzü firması Neuralink, ilk hastası Noland […]

sihirli dovme murekkebi
Bilim

Sihirli Dövme Mürekkebi

HYPRSKN Magic Ink (Sihirli Mürekkep), dünyanın ilk yeniden yazılabilir, silinebilir ve yeniden programlanabilir dövme mürekkebidir. Bu sihirli mürekkep, dövme sektörünü yeniden tanımlayarak bireylerin vücut sanatı […]

aralikli oruc
Bilim

Aralıklı Oruç

Aralıklı Oruç olarakda bilinen zaman kısıtlı beslenme ile ilgili Amerika Kalp Derneğinin 18-21 Mart 2024 tarihinde Chicago’da düzenlenen “Epidemiyoloji ve Önleme|Yaşam Tarzı ve Kardiyometabolik Bilimsel […]

Yavaş Koşu kavramı Japonya'dan dünyaya yayılan ve uzun, sağlıklı bir yaşam sürmenin sırrı olarak kabul edilen, düşük tempoda yapılan bir koşu türüdür. Bu egzersiz formu, vücuda aşırı yük bindirmeden, kalp sağlığını, metabolizmayı destekleyerek ve zihinsel stresi azaltarak genel sağlığı iyileştirmeye odaklanır. Bu koşu türü Japonya'da Dr. Hiroaki Tanaka tarafından popüler hale getirilmiştir. Dr. Tanaka, bu egzersiz metodunun kalp atış hızını aşırı yükseltmeden, sağlıklı ve etkili bir şekilde fiziksel kondisyonu artırabileceğini keşfetti.
Koşu

Yavaş Koşu

Yavaş Koşu kavramı Japonya’dan dünyaya yayılan ve uzun, sağlıklı bir yaşam sürmenin sırrı olarak kabul edilen, düşük tempoda yapılan bir koşu türüdür. Bu egzersiz formu, […]

Beyin çiplerinin geleceği nasıl olacak? Neuralink şirketinin insan beynine yerleştirilen ilk çip haberini paylaşmıştık. Elon Musk, 30 Ocak'ta paylaştığı bir mesajla insan beynine  çip yerleştirildiğini paylaşmış ve hastanın iyileşme sürecinde olduğunu belirtmişti. Üzerinden 1 ay geçen bu operasyon sonrasında hastanın düşünce gücü ile bilgisayar faresini hareket ettirebildiği ile ilgili bir haber paylaşıldı. Beyin çiplerinin geleceğini merak ediyorsanız farklı kaynaklardan derlediğimiz yazı ilginizi çekebilir?
Manşet

Beyin Çiplerinin Geleceği

Beyin çiplerinin geleceği nasıl olacak? Neuralink şirketinin insan beynine yerleştirilen ilk çip haberini paylaşmıştık. Elon Musk, 30 Ocak’ta paylaştığı bir mesajla insan beynine  çip yerleştirildiğini […]

limonata ve rafadan yumurta
Manşet

Limonata ve Rafadan Yumurta

Çetin Altan tarafından ilk kez 1985’te Güneş gazetesinde, sonra 2.6.2003 ve 21.7.2012 tarihlerinde Milliyet’te yayınlanan “Limonata ve Rafadan Yumurta” başlıklı yazısını sizlerle paylaşmak istedik. Usta […]

yetenek acigi
Eğitim

Yetenek Açığı

Dünya çapında işverenler, yetenek açığının üstesinden gelme mücadelesini sürdürüyor. ManpowerGroup’un kapsamlı “Yetenek Açığı Raporu” bu konuda aydınlatıcı veriler sunuyor. Yıllara Göre Yetenek Açığı Manpower Group […]

yokus kosu antrenmani
Koşu

Yokuş Koşu Antrenmanı

Yokuş koşu antrenmanı, koşmayı seviyor olsanız bile, yokuş yukarı koşmayı sevmeme ihtimaliniz yüksektir. Yerçekimine karşı verilen bu mücadele sizi zorlayabilir, ancak koşu yarışlarına, özellikle de […]

yilin sozcugu otantik
Manşet

Yılın Sözcüğü “Otantik”

Yılın Sözcüğü “Otantik”. Merriam-Webster’ın 2023 Yılın Kelimesi olarak seçtiği kelime “authentic” (otantik) oldu. Bu kelime, her zamankinden daha fazla düşündüğümüz, yazdığımız, özlemini çektiğimiz ve yargıladığımız […]

kworks demo day
Manşet

KWORKS Demo Day

🎯Bu yıl Koç Üniversitesi Girişimcilik Merkezi KWORKS bünyesinde yer alan girişimlere mentorluk yapmaya başladım. Birebir çalıştığım girişimlere uzmanlık alanım ve tecrübelerim doğrultusunda destek oluyorum. Bu […]