1 Mayıs 2009 Cuma

Biraz özeleştiri yapalım

Sistemini sadece eğlence ve iş amaçlı kullanan çoğunluğun belirli bir düzeyde bilişim bilgisi sahibi olması kabul edilebilir bir durumdur ve bizlerin bu tabakaya sahip olduğu bilgi düzeyi ile ilgili bir eleştirisi olamaz. Hatta ülkemizin sahip olduğu programcı yelpazesinin %90'ını nı kapsayan database programcısı veya i.t staff sıfatını üzerinde taşıyan kişiler için bile eleştiri kriterlerimiz son derece sınırlıdır.

Ancak yıllardır dikkatimi çeken ve üzülerek gözlemlediğim bir durum var ki; kendine Sistem Yöneticisi/Uzmanı veya Sistem Programcısı yaftasını takıp, üstelik uluslararası firmaların en üst bilişim kademelerinde çalışan arkadaşlarımız üzerlerinde taşıdığı bu sıfatsal yükümlülüğün çok azını bile yerine getiremeyecek bilgi birikimleri ile halen görevlerini sürdürmekte ve yapılan eleştirilere tahammülsüzlük göstererek bizlere kibir ile karşılık vermektedirler. Yaşadığım bir çok tecrübe ne yazık ki halen durumun değişmediğini aksine ülkemizde yanlış uygulanan Sistem Uzmanlığı, Bilgisayar Mühendsiliği, Sistem Programcılığı gibi eğitimler ile mezun edilen kişiler sebebi ile bu yaranın gittikçe derinleştiğini görmekteyiz.

Eleştirilerimin insafsızca yaftalanmasını istemediğim için onlarca örnekten sadece birini sizlerle paylaşmak isterim. Aşağıda ki niteliklere sahip bir şirket düşünün:
  • Uluslararası bir yapılanma
  • ~10.000 çalışan
  • ~20 bölgesel domain
  • ~1500 PC
  • ~ 2700 kullanıcı
  • Yönetimsel yetkilendirmeler ve kısıtlamalar Windows Advanced Server, Network tabanlı iyileştirmeler ise Linux işletim sistemleri ile gerçekleştiriliyor.
  • Ayrıca uluslararası iletişim için kullanılan özel programlar ve sistemler mevcut
  • Dışarıdan gelebilecek saldırı olasılıkları için piyasada ki ünlü bir koruma sistemi ile çalışılıyor ve periyodik olarak denetlemeleri ve güncellemeleri kontrol ediliyor
  • İçeriden gelebilecek saldırılar için ise sıkı group policy ler mevcut ve her hareket loglanıp tehlike sınırılarına göre mevcut threat-tracker ile raporlanıyor.
  • En önemlisi şirket vulnerable ve threat-listler deki güncel açıkların hiç birini bünyesinde bulundurmuyor

Ve evet bu şirkette çalışan ve bilinen en kısıtlı user profilinde çalışan bir kullancısınız. Şimdi kendinize şu soruyu sorun. Bulunduğunuz sistemde local admin olarak yetki sahibi olmanızın olasılığı ne kadar? Ya da tüm domainlerin admin'i olabilme şansına ne kadar yakınsınız? Sanırım cevabı alınca yüzünüzde tatlı bir gülümseme veya benim gibi içinizde acı bir burukluk yaşayacaksınız. Cevabın süresel değilde hareket-zamansal bir cevabı olduğundan kısaca 7 mouse-click ve domain name'in string uzunluğuna göre klavye tuşu basımı diyebiliriz. Yanılmıyorsam tüm bunları 15sn de gerçekleştirebilirsiniz.

Peki bu açığı öğrendiğinizde bir çalışan olarak ne yapardınız?

  1. Bugüne kadar tüm sınırlamalardan sıkılmış biri olarak sistemin verdiği imkanları sonuna kadar kullanmayımı?
  2. Ya da macera peşine düşüp elinizdeki sınırsız haklarla tüm networku zehirlemeyimi?
  3. Ya da bu açığı ilgili birime bildirip gerekeni yapmayımı?

Ben zamanında 3. şıkkı denemiş ve çok büyük hayal kırıklığı yaşamıştım. Karşılaştığım şey yukarıda bahsettiğim tipik kibirli Sistem uzmanı tavrı idi.

Bu basit ve tek olmayan örnek bile bahsettiğim problemin vehametini anlatmak için yeterli sayılabilir. Şayet ilk 2 seçeneği kullanan biri olsaydım, sanırım aynı hayal kırıklığını yaşamazdım.

Dileğim bilişim sektöründe bu tip risk ve sorumluluk gerektiren bilişim pozisyonlarında yer alan kişilerin niteliklerinin en üst düzey yeterlilikte olması ve sürekli güncel bilgi ve donanım ile tazelenmesi yönündedir. Aksi takdirde elindeki sistemin bileşenlerinin kullanımından veya varlığından bile haberdar olmayan kişiler sistemlerini her ne kadar da uluslararası normlarda koruduklarını düşünselerde yine aynı bilgisizlikleri yüzünden kendi elleri ile riske atabilemktedirler.

Sağlıcakla.

İbrahim Akgül

1 yorum:

  1. Hocam çok güzel özetlemişsiniz. Yazılımcı değil, sıradan bir kullanıcıyım ama mesajı anlayabiliyorum.

    YanıtlaSil