Bir yazılıma, “güvenli bir yazılım” denebilmesi için en az aşağıdaki 3 farklı güvenlik önleminin alınmış olması gerektiğini söyleyebiliriz.
1- Yazılım Bazlı Güvenlik Önlemleri
2- Sunucu Bazlı Güvenlik Önemleri
3- Personel ve KVKK Önlemleri
1- Yazılım Bazlı Güvenlik Önlemleri
Aşağıda detayları ile açıklanan sunucu güvenlik önlemleri ile birlikte, bir yazılımına “güvenli bir yazılım” denebilmesi için yıllarca test edilmesi ve bütün güvenlik açıklarının kapatılması gerekmektedir. Bununla birlikte yazılımın hazırlanması sırasında hackerların saldırılarına karşı güvenlik açıklarının bulunmayacağı şekilde kod yazılması gerekmektedir. Yazılımın hazırlanması sürecinde, yazılımı kodlayan yazılımcının birincil önceliği normal olarak yazdığı kodun doğru çalışıp çalışmadığına konsantre olmaktır. Pek çok yazılımcı kodladığı sistemde yarattığı açıklardan habersiz olarak yazılım geliştirmektedir. Çünkü uzmanlık alanları yazılım açıkları ile ilgili değildir. Hackerların ise uzmanlık alanı tam olarak budur. Bir yazılımda ne tür güvenlik açıkları bulunabilir, bu açıklara nasıl atak yapılır, nasıl cevap alınır vb. işlemler yaparak çeşitli amaçlarla yazılımı hacklemeye çalışırlar. Bu nedenle, özel yazılım olarak tabir edilen, birkaç yazılımcının bir araya gelerek kodladığı eticaret yazılımları, eğer bu eticaret yazılımı henüz çok bilinen bir firma tarafından kullanılmamış ve rakipleri tarafından hacker ataklarına maruz bırakılmamış ve bu açıklar kapatılmamışsa, maalesef bu yazılımın pek çok potansiyel açığının bulunduğunu ve rahatlıkla hacklenebilecek bir yazılım olduğunu söyleyebiliriz.
Firmamızın yazılımının altyapısında opencart’ı tercih etmesinin en önemli sebebi güvenliktir. Opencart, 17 yıldır tüm Dünya’da yüzbinlerce kişi tarafından kullanılan ve yapılabilecek tüm hacker saldırıları yapılmış ve buna karşılık tüm açıkları kapatılmış bir eticaret sistemidir. Softomi olarak opencartı geliştirirken özellikle çekirdeğinde yer alan güvenlik sistemlerini kullanmakta ve sürekli güncel virüsler için update etmekteyiz. Böylelikle alınabilecek en üst düzey güvenlik önlemlerini alarak yazılımımızı ve bizden hizmet alan müşterilerimizin site güvenliğini maksimize etmekteyiz.
2-Sunucu Bazlı Güvenlik Önlemleri
a) Firewall Yazılımı
Firewall kelimesinin Türkçe karşılığı güvenlik duvarıdır. Güvenlik duvarının özetle görevi, gelen ve giden ağ trafiğini izlemek ve belirli güvenlik kuralları kümesine göre hangi ziyaretçinin siteye veya kullanılan alana girip girmeyeceğine izin vermektir.
Firewall’lar yazılım ve donanım olarak iki gruba ayrılır. Yazılım olarak firewall, sunucunun bir programı olarak yüklenmekte ve gelen trafik kontrol edilmektedir. Eğer gelen trafikte çok fazla engellenmesi gereken kullanıcı var ise, sunucunun RAM’i ve çekirdeği bu trafiği engellemek için kullanılır, sunucu içerisindeki siteler bu nedenle yavaşlar, atağın uzun sürmesi durumunda ise RAM’in ve sunucunun fazla ısınması sonucu sunucu kendini otomatik olarak kapatır. Bu nedenle sunucuda bulunan tüm sitelerin yayınları durmuş olur. Sunucunun tekrar açılması ve RAM’in soğuması için fan sistemlerinin devreye girmesi gibi süreçler sonrasında sunucu tekrar açılabilir. Atakların sunucunun açılması sonrasında devam etmesi durumunda ise sunucu birkaç kez daha ısınıp kapanacak ve nihayetinde tamamen devre dışı kalmaya kadar giden bir süreç yaşanacaktır.
b) Firewall Cihazı
Yazılım olarak kullanılan firewall’ın tek başına yeterli olmaması nedeniyle ayrıcı bir donanım (cihaz) olarak da firewall kullanılmaktadır. Donanım olarak firewall, sunucunun dışında bulunan ve kendi rem ve çekirdeğini kullanan bir cihazdır. Böylece, gelen atakları önlemek için kendi gücünü kullanarak sunucunun yorulmasının önüne geçer. Donanımsal firewall’ı aşan atakları ise sunucuda bulunan yazılımsal firewall karşılar. Böylelikle saldırılar için çok daha güçlü ikili bir duvar örülmüş olur.
c- DDos Atak Önleyici
DDoS (Distrubuted Denial of Service Attack) / Hizmet Engelleme) saldırısı belirli bir web sitesini, sunucuyu veya çevrimiçi hizmeti sınırlamak ya da tamamen ortadan kaldırmak için bilgisayar korsanları tarafından yapılan bir saldırıdır.
Nasıl önlenir?
DDos atakları Router düzeyinde ve Güvenlik Duvarı düzeyinde yapılan çalışmalarla büyük oranda engellenebilmektedir. Bununla birlikte ihtiyaç duyulması halinde bu konuda uzmanlaşmış cloudflare sisteminde de destek alınarak yapılan DDoS atakları engellenebilmektedir.
d- CloudLinux (Siteler Arası Duvar)
CloudLinux, sunucudaki siteler arasında aşılmaz duvarlar ören, bir anlamda sunucuda bulunan her bir siteye kendi güvenli odasını hazırlayan en gelişmiş güvenlik sistemlerinden biridir. Olası bir hacker atağında herhangi bir siteye sızılmış olsa bile, hacker’ın sunucudaki diğer bir siteye geçiş yapması ve bu siteye zarar vermesi mümkün değildir.
Hacker’ın diğer siteye ulaşması için bir anlamda sunucunun kapısından çıkması ve tekrar girmesi gerekir. Bu süreçte sunucu hareketlerinden hacker varlığı anlaşılır ve gerekli güvenlik önlemleri alınır.
e- 60 Gün Yedek Saklama
Alınabilecek tüm güvenlik önemleri en üst düzeyde alınmış olsa bile, hackerlar her geçen gün farklı saldırı türleri geliştirmek için çalışmakta ve bir şekilde Dünya’nın ve Türkiye’nin en bilinen firmalarının (facebook, windows, icloud, pentagon, nasa, yemeksepeti vb) sistemlerine sızabilmektedirler. Bu nedenle, sitedeki verilerin yedeklenmesi ve ayrı bir sunucuda saklanması son derece önemlidir. Firmamız, tüm sitelerin geriye doğru 60 gün boyunca alınan yedeklerini ayrı bir sunucuda ihtiyaç duyulması halinde kullanmak üzere saklamaktadır.
3- Personel ve KVKK Önlemleri
Yazılım firmaları her ne kadar yüksek güvenlik tedbirleri almış olsalar bile bu tedbirlerin hemen hemen tamamı genellikle dışarıdan yapılacak saldırılara karşıdır. Ancak özellikle işten ayrılmış olan kötü niyetli personelin, çalışmış olduğu yazılım firmasına işten ayrıldıktan sonra ciddi zararlar verdiği sektörde bilinmektedir. Bunun önüne geçebilmek için uygulanabilecek en etkili yöntem sunucu, cpanel ve veritabanlarına sadece şirketin IP’sinden bağlanıldığında erişim izni verilmesidir. Dolayısıyla işten ayrılan bir çalışanın şirket dışından yazılımlara herhangi bir şekilde erişmesi mümkün olmayacaktır. Pandemi nedeniyle evden çalışan ekip ise gelişmiş bir VPN üzerinden, bir anlamda şirket içindeymiş gibi ilgili kodlara erişebilmektedir. Herhangi bir personelin işten ayrılması durumunda VPN şifresinin değiştirilmesi yeterli olmaktadır.
Sunucu ile birlikte yine bilinen bir şifre ile dışarıdan erişilmesi mümkün olan bir alan admin alanıdır. Herhangi bir personelin işten ayrılması durumunda yüzlerce sitenin admin şifrelerinin değiştirilmesi mümkün olmayacağından, şirket dışından güçlü admine ulaşım yine her seferinde oluşturulan otomatik güçlü admin şifresi oluşturma işlemi ile engellenmektedir. Sitelerimize güçlü admin kullanıcısı olarak sadece şirketimizin IP adresleri üzerinden bağlanılabilmektedir.
Diğer bir konu ise KVKK kapsamında alınması gereken güvenlik tedbirlerinin alınmasıdır. Bunların en önemlileri, yazılım firmasının tüm çalışanları ile karşılıklı olarak KVKK sözleşmesi imzalaması ve müşteri verilerinin 3. taraflarla personel tarafından paylaşılması durumunda, ilgili personelin de sorumluluk altında olduğunu bilmesidir.
Diğer bir sızma yöntemi ise Wifi şifresi paylaşımıdır. Alınabilecek tüm dış atak önlemleri alınmış olsa bile, firmamıza gelen bir misafire Wifi şifresi vermek, tüm güvenlik kalkanlarını devre dışı bırakma yetkisi vermekle aynı anlama gelmektedir. Bu nedenle, firmamızda kullanılan internet bağlantısının şifreleri sadece personelimiz tarafından bilinmekte ve herhangi bir personelin işten ayrılması durumunda değiştirilmektedir.
