Yaklaşık olarak üç ay önce tüm ISC Bind sürümlerini etkileyen bir açıklık yayınlandı. Açıklık DNS servisini etkilediği için çok kritikti( dns’in çalismamasi ne demek? Mail alisverisinin durmasi, web sayfalarinin çalismamasi, ISP’ler için müsterilerinin internetinin gitmesi(müsteri için dns vs yoktur internet çalisiyor ya da çalismiyordur).
Bu açıklığa göre internetin %80 gibi büyük bir oranına dns hizmeti sağlayan Bind yazılımı kullananların verdikleri dns hizmeti uzaktan tek bir dns paketiyle kapatılabiliyordu. Açıklığın çıktığı tarihlerde -tam da Türkiye’de 3G hizmetinin duyurulduğu gün- çoğu arkadaşımı bizzat arayarak sistemlerini yamalarını sağlamıştım. Kendi yöneticilerimize de konunun ciddiyetini anlatmak için exploiti düzenleyerek(uzaktan kimin gönderdiği belli olmayacak şekilde spoof ip ile) kendi sistemlerimizde test amaçlı çalıştırmıştık.
Açıklığın üzerinden iki ay geçtikten sonra klasik araştırmalarımdan birini bu konuya ayırdım. Amacım acaba Türkiye’de konu ne kadar ciddiye alınmıştı, bizlere güvenlik hizmeti satan firmalar, güvenlik eğitimi veren kurumlar, ötesinde Türkiye’nin güvenliğini (hem sanal hem sosyal) sağlamaya çalışan kurumlar kendilerini korumaya almışlar mıydı sorusunun cevabını bulabilmekti.
Geçtiğimiz yıl yine DNS sunucuları etkileyen cache poisoning açıklığı sonrasında yaptığımız araştırmada oran bu araştırmadan daha düşük çıkmıştı. Bunda linux/unix üzerine kurulan sistemlerin daha geç güncellendiği sonucunu çıkarmıştık.
Güvenlik Firmaları ve Bind DOS Zaafiyeti
Rastgele seçilen bilgi güvenliği firmalarının dns sunucularının %80’i hala ilgili açıklık için yama yüklememiş durumda. Bize güvenlik hizmeti veren firmalar kendi güvenliklerine dikkat etmiyorsa buradan şu sonuç çıkıyor: firmalar bu işi sadece maddi kazanç için yapıyorlar, kalite vs pek dikkate alinmiyor. Bu firmalar arasında bazılarının pentest hizmeti verdiğini de düşünürsek tam bir kendi söküğünü dikemeyen terzi durumu çıkıyor karşımıza.
ISP’ler ve Bind DOS zaafiyeti
ISP’lerin hemen hepsi bu açıklığa karşı korumasız durumda. Aralarında windows kullanan azınlık grubu saymazsak Bind kullananların çoğu güncelleme yapmamış.
Hosting firmaları ve Bind DOS Zaafiyeti
Hosting firmaları da bu konuda sınıfta kalanlardan. Hosting firmalarının çoğu kendi dns sunucusunu kullanmadığı için ISP’lerdeki zaafiyet onları da doğrudan etkiliyor. Hosting firmalarında durum %70 civarlarında. Normalde bu oranın %95 olacağını tahmin ediyordum ama aralarında Windows DNS kullananlar olduğu için oran düşük çıktı.
Üniversiteler ve Bind DOS Zaafiyeti
Güzide üniversitelerimizde açıklıktan sonra sistemlerine hiç dokunmayanlardan. Rastgele seçilen üniversitelerden çıkan sonuç %85 oranında bu zaafiyete karşı korumasız oldukları.
Eğitim kurumları ve Bind DOS Zaafiyeti
İçlerinde bilgi güvenliği , linux, sistem yönetimi vs konularında çeşitli eğitimler veren firmaların da bulunduğu test grubu da güvenliği sadece konuşmak ve satmak üzerine algılayanlardan. Eğitim kurumlarında %85 oranında Bind DOS zaafiyetinden etkileniyor.
Sonuç
Sonuç olarak Türkiye bilgi güvenliği konusunda yapılacak bir kalite testinde sınıfta kalacaktır. Tek işi güvenlik olan ve firmalara ürün satmak için onları sistemlerinde çıkabilecek açıklıklarla korkutanların kendi sistemlerini hiç dikkate almadığı görülüyor.
Çoğu sistem yöneticisinin DNS sunucularımızı X firması yönetiyor nasıl olsa onlar düşünmüştür şeklinde bir yaklaşımla hiç test etme ihtiyacı hissetmemişler. Yine Linux/UNIX sistem yöneticilerinin biraz tembellik yaptığı sonucunu da çıkarabiliriz. Bunun temel sebebi Linux kullanıyoruz, nasıl olsa güvenlidir yaklaşımı olduğunu düşünüyorum. Oysa günümüz dünyasında artık gerçekten güvenlidir diyebileceğimiz bir sistem kalmadı. İş artık daha çok sistem/network/güvenlik yöneticilerine kalıyor.
Umarım bu sonuçlar birilerini harekete geçirir ve kendi sistemlerine de bakma ihtiyacı hissederler
Not:Testlerin yapılışı kesinlikle hedef sistemlere zarar vermeyecek şekilde sıradan dns istekleri göndererek yapılmıştır.
Not: Bu yazı yayınlandıktan 3 ay sonra tekrar bir test yapıp daha detaylı sonuçlar paylaşmayı planlıyorum.
test etmek isteyenler icin bir arkadas python ile calisan bir kod komus sitesine;
http://www.dxp2532.info/tools/bind9-update-dos.py
Pingback: Netsec Güvenlik Bülteni XI « Elektronik Yayın Arşivi