Web Tarayıcı Güvenlik Uyarı Sistemi

* Alpay ERDEM, *Kıvanç DİNÇER

Internet erisiminin yayginlasmasiyla birlikte Microsoft Internet Explorer veya Netscape Navigator gibi popüler web tarayicilarini kullanarak Internet’teki bilgilere erismek yani web’de sörf yapmak (web sörfü) birçogumuzun günlük aliskanliklari arasina girmistir. Web sörfü ile ilgili yaygin olan yanilgilardan biri web’de sörf yaparken kimligimizin asla tespit edilemeyecegi yani tamamen anonim bir kimlikle Internet üzerinde sunulan hizmetlerden istifade etmekte oldugumuz, bir digeri ise web sörfü sirasinda bilgisayarimizin bir zarara maruz kalmayacagidir. Halbuki bir kullanici gezdigi her web sitesinde kimligine ve ait oldugu kurumun bilgisayar altyapisina ait bir takim ipuçlari birakmaktadir. Disari sizan bu bilgiler dikkatlice organize edildigi taktirde kullanicinin bilgisayarina veya çalistigi kurumdaki yerel aga bagli diger bilgisayarlara erisip güvenlik mekanizmalarini geçmek, kullanilan bilgisayar altyapisi ve programlarin özelliklerine göre etkili olacak saldirilar düzenleyerek kurumsal ölçekte zararlar vermek mümkündür.

En gelismis web tarayicilarinin bile, web sörfü yapan kisinin banka hesap numarasi veya bilgisayar sifresi gibi kisisel bilgilerinin disari sizmasina veya izlenilen web sayfalari içine gömülü olan ActiveX türü kodlarin kullanicinin bilgisayarina tamamen hakim olmasina olanak saglayan güvenlik problemlerine yol açabildigi gözlenmistir. Bu tür problemler kullanilan web tarayicisinin kaynak kodundaki program hatalarindan veya aktif içerik (JavaScript, ActiveX, ve Java gibi teknolojiler) sunabilen tarayicilarda bu aktif içeriklerin tarayicinin güvenlik sisteminde bosluklar olusturabilmesinden kaynaklanmaktadir. Bunlar kötü amaçli kisiler tarafindan farkedildiginde web sörfçülerine zarar vermek için kullanilabilir. Web tarayicisi üreten yazilim sirketlerinin tüm çabalarina ragmen daha önceki sürümlerdeki güvenlik bosluklarini kapattigi iddaa edilen her yeni tarayici sürümünde yeni fonksiyonlarin eklenmesi ve aktif içerik saglayan teknolojilerin daha da güçlenmesi dolayisiyla yeni güvenlik bosluklari ortaya çikmaktadir.

Bu bildiride son yillarda web’de sörf yapanlari etkileyen web güvenligi problemlerinden örnekler verilerek ana tehdit unsurlari siniflandirilmaktadir. Yaptigimiz çalisma sonucunda degisik tarayici tip ve sürümlerindeki güvenlik problemlerini kapsayan bir arsiv olusturulmus ve web kullanicilarini kendi güvenlikleri konusunda bilgilendirmek amaciyla bir web tarayici güvenlik uyari sistemi sitesi tasarlanmistir. Bu siteye baglananlara kullandiklari tarayicilarin disari sizdirdigi bilgiler tek tek gösterilmektedir. Sizan bilgilerin içerigi tarayicinin tür ve sürümüne, sörfçünün sistemine göre degistigi için ziyaretçilere gösterilen bilgilerin içeriginde kisiden kisiye farkliliklar olabilmektedir. Tarayicilarla ilgili ortaya çikan güvenlik problemlerinin büyük kismi çözülmüs olmakla beraber farkinda olmadan halen eski sürüm tarayicilar kullananlar tehdit altindadir. Sörfçünün tarayicisi ile ilgili bilinen güvenlik problemleri de kendisine bildirilmekte, hatta makinasina zarar vermeyecek sekilde bunlardan bazilarinin online demo’sunu görmesine olanak saglanmaktadir. Kullanicinin sistemine uygun yeni sürüm tarayicilar veya gerekli sistem yamalari da bu siteden merkezi olarak hizmete sunulmaktadir.

* Başkent Üniversitesi, Bilgisayar Mühendisligi Bölümü