Güvenlik Açıklarının Ana Sebebi Kodlamanın Yanlış Öğrenilmesi mi?

Alman güvenlik araştırmacılarına göre web sitelerinde bulunan güvenlik açıklarının büyük bir kısmı internet üzerinden kodlama öğreten sayfaların verdiği örneklerden kaynaklanıyor.

Alman siber güvenlik araştırmacıları yaptıkları araştırmada ilginç bir sonuca ulaştı. Araştırmaya göre web sitelerinde bolca bulunan güvenlik açıklarının asıl kaynağı popüler çevrimiçi dersler! İnternet üzerinden kodlamayı öğrenen ve daha sonra öğrendikleriyle web sitesi yapan çoğu kişi bu güvenlik açıklarından haberdar değil.

Technical University of Berlin’in bilgisayar bilimcileri, Saarland University, Technical University of Braunschweig ve bir siber güvenlik firması olan Trend Micro GitHub’ta bulunan PHP kodlama projelerini analiz etti. Analiz sonucunda bu projelerin birçoğunun popüler kodlama öğreten sayfalarla benzer hatta aynı hatalara sahip olduğu belirlendi.

Bahsi geçen çevrimiçi kodlama öğreten sayfalar oldukça sık aranan PHP’de arama formu oluşturma, MySQL kullanma gibi derslere odaklanıyor. Ayrıca bu sayfalar öğrenmek için gelen kişilere kopyalayabilecekleri örnekler sunar. Fakat sorun şu ki; sunulan bu örnekler genellikle bilgisayar korsanlarının faydalanabileceği güvenlik açıkları içeriyor.

Araştırmacılar en sık aranan kodlama konularıyla ilgili derslere baktıklarında 15 sonuçtan dokuzunun güvenlik açıkları bulunan kodlar içerdiğini keşfetti. Manuel olarak analiz ettikleri sonuçlarda çoğu web sitesinde bulunan 117 farklı güvenlik açığının, bu çevrimiçi ders veren sayfalarda bulunan güvenlik açıklarına çok benzediğini ortaya çıkardılar.

Yazılım geliştiricileri sıkça programlama ile ilgili kaynaklara başvuruyorlar. Her ne kadar API ve dil ile ilgili kılavuzlar daha ayrıntılı olsa da web ile ilgili olanlar daha kısa ve ulaşımı kolay. Hızlı uygulanabilir olmalarının cazibesi bu gibi çevrimiçi ders veren sayfalara çokça insan çekiyor. Yaptığımız büyük ölçekli araştırmada güvenlik açıkları bulunan web sitelerindeki kod parçalarının çevrimiçi ders veren sayfalarda verilen örnek kodlarla bağdaştığını gördük. Bu bulgulara göre çevrimiçi ders veren sayfaların potansiyel güvenlik açıklarının var olmasını sağladığını söyleyebiliriz.

Konu ile ilgili detaylı bilgiye ulaşmak için Cornell Üniversitesi Kütüphanesi’nin açık kaynaklı veri tabanında bulunan yazıyı inceleyebilirsiniz.