SonarQube kaynak kodu yönetim aracı olarak bir çok kuruluş tarafından kullanılmaktadır. Yazılımın temel kullanım amacı yazılım geliştiriciler tarafında yazılan kodların herhangi bir güvenlik açığı barındırmadığından emin olmaktır. Ancak tüm teknolojik ürünlerde olduğu gibi bu yazılımın da kurulumu ve konfigürasyonu düzgün yapılandırılmadığında kullanıcıların başlarına neler gelebiliyor aşağıdaki haberden detayını okuyabilirsiniz.
Tüm yazılımların standart bir kurulum ve konfigürasyon talimatı vardır. Yazılımların standart kurulumlarda yazılıma erişim için varsayılan bir “bağlantı noktası (port)”, bir yetkili “kullanıcı adı” ve “şifresi” ile kurulur.
SonarQube de varsayılan bağlantı noktası “9000”, yetkili kullanıcı adı “admin” ve şifresi de “admin” olarak belirlenmiş. Yapılması gereken standart kurulumdan sonra varsayılan tanımların değiştirilmesi gerekmektedir. Ve canlı kullanıma alınmadan tercihen yazılımı kuran ekibin dışında farklı bir ekip tarafından güvenlik kontrollerinden geçirilmesi ve sızma testi yapılması gereklidir.
Peki bu standart tanımların değiştirilmesi neden atlanıyor? Hata kimde? Bu tip hataları önlemek için neler yapılmalı?
Ençok yaşanan durumlardan bir tanesi;
Kurum bir yazılım satın alacak ve satın alma öncesi yazılımın özellikleri görülmek üzere ilgili ekip bu yazılımı bir test ortamına kurar/kurulmasını ister. Yazılım test amaçlı kurulduğu için standart kurulum ve konfigürasyon adımlarına göre yapılır! Yazılım o kadar beğenilmişdir ki test ortamına kurulan altyapı direkt canlı kullanım ortamına dönüşmüştür! Büyük kurumların IT ortamları o kadar yoğundur ki kimse dönüp test amaçlı kurulan o yazılımı sıfırdan güvenlik statandartlarına göre kurmayı akıl edemez yada unutur!
Eminim yukardaki örneği bir çoğunuz yaşamıştır. Burada hata yazılımı test amaçlı kuran/kurulmasını isteyen ekipte doğal olarak. Yazılımın testleri tamamlandıktan sonra silmesi ve canlı kullanım ortamı için sıfırdan ve güvenlik standartlarına uygun bir şekilde yeniden kurması/kurulmasını istemesi gerekmektedir.
Bu durumlara karşı en etkili yöntem yazılımın kurulacağı altyapıda işletim sistemi lisansını süreli vermektir. İşletim sistemi lisansı 30 yada 60 gün gibi süre ile sınırlandırıldığında zaman dolunca sistem açılmayacağı için yazılım kullanılamayacaktır.
Diğer bir yöntem, test amaçlı yazılımların çalıştığı sistemlerin bulunduğu ağı canlı kullanım amaçlı sistemlerin bulunduğu ağdan tamamen izole etmektir. Ayrıca test sistemleri ağından canlı sistemlerin bulunduğu ağa sistem taşınmasını değişiklik yönetim sürecine ve katı bir onay sürecine bağlayın. Bu taşıma öncesi elinizde bir kontrol listesi bulunsun ve bu kontrol listesinde mutlaka bu sistemin ve üzerinde çalışan yazılımın güvenlik kontrolleri yer alsın.
Ayrıca yazılımı ve üzerinde çalıştığı sistemi sızma testine tabii tutun. Tabii ki bu sızma testini konusunda uzman üçüncü bir göz yapsın.
Tüm bunları yapma fırsatı bulamadınız ve bir şekilde sizin bilginiz haricinde canlı sistemleri ağına yeni bir sistem ve üzerinde yukardaki gibi bir yazılım kuruldu (Gölge BT, Shadow IT). Bu durumu yakalamak için canlı sistemler ağında düzenli olarak varlık keşfi (asset discovery) çalıştırmalısınız. Varlık yönetim veri tabanınıza (UCMDB) kayıtlı olmayan yeni bir varlık var mı düzenli olarak mümkünse her gün hatta anlık keşif yapmalısınız.
Peki siz bu örnekte anlattığımın dışında nasıl durumlarla karşılaşıyorsunuz ve bunlar nasıl önlüyorsunuz? Yorumlar kısmında paylaşırsanız sevinirim.
Şimdi SonarQuebe ile ilgili haberin detayına gelelim
Bu haber “https://www.zdnet.com/article/fbi-hackers-stole-source-code-from-us-government-agencies-and-private-companies/” adresinden derlenmiştir. Detay ve haberin orjinali için yukardaki adresi ziyaret edebilirsiniz.
Federal Araştırma Bürosu, tehdit aktörlerinin ABD devlet kurumları ve özel işletmelerden kaynak kodu depolarına erişmek ve bunları çalmak için yanlış yapılandırılmış SonarQube uygulamalarını kötüye kullandıklarına dair bir güvenlik uyarısı gönderdi.
FBI, tarafından gönderilen bir uyarıda , en az Nisan 2020’den bu yana saldırıların gerçekleştiğini ve bu hafta web sitesinde kamuoyuna açıklandığını söyledi.
Uyarı , şirketlerin yazılım kodlarını canlı ortamlarına almadan önce kaynak kodlarını test etmek ve güvenlik açıklarını keşfetmek için yazılım geliştirme altyapılarına entegre olarak kullandıkları web tabanlı bir uygulama olan SonarQube sahiplerini ilgilendirmektedir.
SonarQube uygulamaları web sunucularına yüklenir ve BitBucket, GitHub veya GitLab hesapları gibi kaynak kodu barındırma sistemlerine veya Azure DevOps sistemlerine entegre edilir. Ancak FBI, bazı şirketlerin bu sistemleri korumasız bıraktığını, varsayılan yapılandırmalarında (bağlantı noktası 9000’de) varsayılan yönetici kimlik bilgileriyle (admin / admin) çalıştığını iletmiş.
FBI yetkilileri, tehdit aktörlerinin SonarQube u bu şekilde yanlış yapılandıran kurumların kaynak kodu depolarına ulaşarak kurumlara ait özel / hassas verileri kötüye kullandığını söylüyor.
Yorum yazabilmek için oturum açmalısınız.