Güvenlik kavramı (bilişim ve fiziksel hayat üzerinde) çoğu zaman gizlilik ile eş tutuluyor. Sistemlerin içine güvenlik ne şekilde eklenirse eklensin, sonradan ya da dizayn edilirken, gizlilik faktörü toplam güvenlik üzerinde etkili oluyor. Bu kavrama da “gizlilik yoluyla güvenlik” deniyor. Şimdi gelin bu kavrama tekrar bakalım ve aslında ne kadar hassas olduğunu görelim.

Gizlilik yoluyla güvenliğe kredi kartı şifrelerini, çanta anahtarlarını örnek verebiliriz. Gizli olan şifre mutlak bir güvenlik kapısı olarak tanımlanabilir. Şifreler gizli olduğu sürece güvenlik sözkonusuyken, şifrelerin en ufak şekilde başka bir kişiye geçmesi sonucu tüm sistem çökecektir. Bu anlamda, tek noktada gizlilik içeren bir güvenlik kontrolü uyguladğımızda, güvenlik kontrollerini uyguladığımız sistemin, beklenmeyen durumlarda değişebilir ve mümkün olduğunca güvenli çökebilir olması gerekmekte. Yine kredi kartı örneğini alalım. Şifrenin herhangi bir şekilde açığa çıktığını düşündüğümüz anda bankayı arayıp kartı iptal ettirmemiz, sistemin ilk güvenlik kontrolü çöktükten sonra (şifre oluyor) bir sonraki güvenlik aşamasına yani kart iptali basamağına geçmesi anlamına geliyor. Bu sistem içinde her ne kadar çok önemli bir gizlilik faktörü içerse de efektif ve basamaklar halinde kredi kartının iptaline giden bir çöküş sistemi.

İkinci ve gizliliğin asıl kaçınılması gereken noktaya geçelim. Sistemlerde kullanılan gizlilik faktörü, sistemin dizaynı sırasında aynı derecede kullanılırsa ne olur? Yine kredi kartı örneği üzerinden gidelim. Kredi kartı sistemi belli derecede konuyla ilgilenen herkes tarafından bilinen bir sistem. Teknik altyapısı ilgili tüm teknik insanlar tarafından iyi biliniyor, sistemin açıkları ve bu açıkları kapamak için uygulanan yöntemler bu insanlar tarafından bulunuyor ve geliştiriliyor. Kredi kartı sisteminin açıklarını bulmak ve faydalanmak için saldırganlar canla başla uğraşırken, bir o kadar çok sayıda kişi bu açıkları önceden tahmin etmek ve kapamak için çalışıyor. Bu esnekliğin sebebi sistemin büyük ölçüde açıklanmış ve gizliliğin az olması. Buna karşın, bazı sistemlerin dizaynında tam anlamıyla bir gizlilik politikası uygulanıyor. Sistemin dizayn ve işleyişini sayılı kişiler biliyor. Bu yaklaşımın sebebi ise ne kadar az kişi sistemi bilirse o kadar az kişi sisteme saldıracak kadar bilgiye yetkin olabilir mantığı. Ne kadar az bilgi o kadar çok güvenlik. Kulağa mantıklı geliyor. Peki; bu mantıkla sistemin aslında güvenlik açıklarına karşı çok hassas ve herhangi birisi açığa çıktığı anında ölümcül risklerle karşı karşıya kalacağı da çok açık değil mi? Gizlilik bir süre güvenliği sağlayacaktır, fakat gizlilik nedeniyle araştırılamayan ve haliyle bilinemeyen bir açık, bir saldırgan tarafından keşfedilince sistemin direk çöküşüne neden olacak bir olayı tetikleyecektir. Çünkü sistemdeki gizlilik, muhtemel açıkların (ki her sistemin açıkları vardır, tam anlamıyla güvenli bir sistem yoktur) bulunmasına ve bu açıkların kapatılması için çalışılmasına da engel olmaktadır.

Bu konuya en uygun örnek yıllardır kodlarını saklayan Microsoft olabilir. Bir çok ciddi açıkları bulunan yazılımların kodları ve haliyle açıkları saldırganlar keşfedene kadar bulunamıyor. Tabi saldırganların ilk keşfeden olması da ilk aşamada devasa güvenlik tehditlerini ortaya çıkarıyor. Tam tersine, bir çok alanda, açık kaynak kodlu yazılımlarda, yazılımların açıklarını bulmak ve kapaman için yazılıma ilgi duyan bir topluluk sözkonusu. Evet, kodlar iyi kişiler kadar saldırganlara da açık durumda. Fakat açıkların bulunması ve sistemin zayıflıklarının önceden keşfedilmesi gizlilik yoluyla değil açıklık üzerinden yürüyor. Tabiki bir bir nükleer teknolojinin sırları bir çok kişiye de açılamaz ama bilişim teknolojileri için gizlilik artık dizayn aşamasında değil kullanım sürecinde düşünülen bir konu olmuş durumda.

Bilgiselhayat'a hosgeldin, umarim yazilari severek okur ve onlardan faydalanabilirsiniz. Icerigi RSS olarak almak isterseniz lütfen buraya tiklayin. Ziyaretiniz için tesekkürler!