Web Güvenliğinde Son Gelişmeler

Türkiye’nin ulusal çapta yazılım geliştirme etkinlikleri açısından zengin bir ülke olmadığını rahatlıkla söyleyebiliriz. Sürekli olarak yapılan bir etkinliği ben şahsen duymuyorum. Hep arada bir, “estikçe” yapılan etkinlikler oluyor ve bir türlü gelenekselleşemiyor. Oysa bizim insanımız değil mi ilk düzenlediği olayı hemen gelenekselleştiren? Demek ki yazılımda istisnâi hareket ediyoruz.

Güvenlik ve Web 2.0 sahasında, son seneler daha hareketli geçiyor. Elbette popüler yazılım geliştirme platformunun web hâline gelmesi ve beraberinde getirdiği güvenlik sorunları bunun başlıca sebebi. Bu sebep ve bir çok sebepler, bir yağmurlu Istanbul gününde, kendimizi Bilgi Üniversitesi’nin kampsünde bulmamızı sağlıyor.

IstSec, 12 Aralık 2009 Cumartesi sabah saatlerinde açılış konuşmalarıyla başladı. Akademik isimlerle emekçilerin buluştuğu karma bir organizasyon olmuş. Çünkü organizasyona Bilgi Üniversitesi de müdahil durumda.

IstSec’in gelenekselleşerek, siber güvenlik branşında önemli konuların konuşulduğu bir zirve olmasını temenni ediyorum. Bu yolda da Huzeyfe Önal arkadaşımıza başarılar diliyorum.

IstSec’ten bağımsız olarak duyuracağımız bir diğer gelişme de çok mahallî bir şey değil. Mavituna Security ünvanıyla İngiltere’de kurulmuş bir Türk girişiminin ürünü olan Netsparker‘dan, bir web güvenlik tarayıcısından bahsetmek istiyoruz. (“Tarayıcı” dediğimizde, “browser” kelimesinin de “tarayıcı” olarak tercüme edilmesinden dolayı yanılgıya düşülebilir. Hemen ikaz edelim ki bu “tarayıcı”, “scanner” kelimesinin karşılığı.)

NetSparker, kendisine verilen bir web sitesini, diğer tarayıcıların yaptığı gibi enine boyuna analiz edip neticede bir rapor çıkartıyor. Rapor, değişik önemdeki güvenlik açıklarını ve tavsiye derecesindeki bulguları içeriyor.

Ancak diğer tarayıcıların yapmadığı bir şeyi yapıyor bu tarayıcı. Sunumlarda “exploit edilebilen açıkları doğruluyor” olarak ifade edilen yalnız bizim ham Türkçeye çevirme ihtiyacı duyduğumuz bir şeyi yapıyor: “istismar edilebiliyorsa, bunu kanıtlıyor”. Çok daha açık konuşursak, diğer tarayıcıların raporlayıp bıraktığı bulguların yakasını koyvermiyor! Bu açıkları, -programın farklılaştığı nokta bu işte- suistimal etmeye çalışıyor ve başarırsa, bunu raporuna ekliyor.

Netsparker, web güvenliği dalında kendini yeterince kanıtlamış, bilinirliği Türkiye’nin dışına taşmış Ferruh Mavituna‘nın projesi. 3 yıldır üzerinde çalıştığını belirtiyor. Şu an 6 kişilik ekibi var ve aktif kod yazan kendisi dahil 2 kişi. Geçen hafta salıverilen ürün, Türkiye’de de aracı bir kuruluş tarafından satışa çıkıyor.

Yazılım geliştirici perspektifinden değerlendirdiğimizde Netsparker’i işlevsel anlamda başarılı buluyoruz. .NET 3.5 ile yazılmış uygulamada WCF’in de kullanıldığını bizzat Mavituna’dan öğrendik. Pipe kullanımında yaşadığı sorunları paylaştı; kendisine hak verdik.

Ara yüz bileşenleri olarak DevExpress tercih edilmiş. Bu nedenle gayet şık bir ara yüzle hizmet veriyor. Lisanslamanın ise gayet makul değerlerde olduğunu söyleyebiliriz.

Netsparker’a ve evlerinden çalışan genç ekibine milletlerarası arenada başarılar diliyoruz.

Üçüncü bahsimiz ise, Web Güvenliği Türkiye ekibinin web dergisiyle ilgili. 3. sayısı çıktı. Çekinmeden okuyabilirsiniz.