ÖSYM sitesi hacklendi mi ? Ve Çıkarılacak Dersler…

ösym

 

Olay:


ÖSYM web sitesi altında bulunan aday işlemleri modülü 19 Nisan 2011 tarihinden başlayarak iki gün boyunca hizmet kesintisine uğradı. Medyada çıkan haberlerde ÖSYM kurumsal web sitesinin bir hacker (saldırgan) tarafından saldırıya uğradığı yönünde iddialar öne sürüldü. İlk akla gelen nokta “Sınav soruları internet üzerinden çalınmış olabilir mi?” sorusuydu.ÖSYM’nin aday işlemleri sistemini hack’lediğini iddia eden Vedat Odabaşı isimli bir saldırgan, medya kuruluşlarına gönderdiği mailde;

“Büyük emek ve çabalar sonucu dün gece 1 sularında ösym sitesi hacklendi alın size hack açığı sistem şuan için tamamen kapalı durumda kullanmak isteyen arkadaşlar açığı kullanıp bilgi aktarması yapabilirler başarılar:::)))) saygılarımla

Sistemden sınav sorularının çalınması pek de zaman almayacak kadar basit bir durum güvenlik sistemi tam teşkilatlı değil ösym gibi bir kurumun böyle basit sistemler kullanması düşündürücü doğrusu..” ifadesinde bulundu.

Bu iddialara karşın ÖSYM tarafından birkaç gün açıklama yapılmaması, sonrasında açıklamanın geç gelmesi de akıllarda soru işareti yarattı.

ÖSYM Tarafından Gelen Geç Açıklama

ÖSYM de çıkan bu haberler karşısında geç gelen bir açıklamada bulundu.

ÖSYM tarafından yapılan bu açıklamada;
“Bir süredir sayfamızın yayında olmamasının sebebi, tamamen teknik bir savunma ve yenilenme nedeniyledir. ÖSYM’nin internete açık olan Bilgi İşlem Sistemi üzerinden sınavlarda sorulacak soruların bulunduğu sisteme erişmek asla mümkün değildir. Bu nedenle, sorulara erişildiği bilgisi kesinlikle yalandır.”
Soruların çalınabilmesi mümkün olabilir mi?

İddialara göre hacklenen aday işlemleri sisteminde bulunan açıklardan faydalanan saldırgan bu sunucu ve buna ait veritabanı üzerinde yetkisiz işlemler yapmış olabilir. Fakat yapıldığı iddia edilen bu yetkisiz erişim, sınav sorularının çalınması anlamına gelmemektedir. Gerekli güvenlik açıkları ve koşulları sağlandığında sistemlere erişilebilirliği söz konusu olabilir.

Bu işlemin başarı ile gerçekleştirilmesi senaryosu aşağıdaki durumlardan birinin gerçekleşmesi ise mümkün olabilir:

• Hack’lendiği iddia edilen aday bilgi sistemi ile sınav sorularının aynı sunucu veya veritabanı üzerinde yer alması,

• Sınav sorularının başka bir sunucuda yer aldığı durumda ise, aday bilgi sistemi ile soruların bulunduğu sunucu arasında bağlantısının olması ve varsayılan bir açıktan faydalanan saldırganın o sunucu üzerinde yetkisiz erişimler yapabilmesi gerekmektedir.

Bu senaryoların dışında ÖSYM aday bilgi sistemindeki açıktan faydalanan bir saldırganın bu tip bir bilgiyi sızdırması mümkün olmayacaktır.

Bu tip kritik bilgi içeren sistemlerin güvenliğinin sağlanması için katmanlı güvenlik anlayışı politikaları benimsenmelidir. Ancak olayın gelişiminden ve açıklanan mevcut durumdan böyle bir erişim olduğuna dair bir bilgi edinilmemektedir.

Çıkarılabilecek Dersler

Kurumsal İletişim Yönetiminin Önemi

ÖSYM tarafından yapılan açıklamaların geç gelmesi kafalarda da soru işaretleri yarattı. Bu aşamada kurumsal iletişim yönetiminin etkin bir şekilde kullanılması gerekliliği ön plana çıkmaktadır.Kurumsal iletişim, bir kurumun hedef kitlelerine yönelik iletişim çalışmalarının tümüdür. Etkin iletişim doğru zamanda, doğru ifadelerle, doğru kişi tarafından, doğru hedef kitleye, doğru bilginin, doğru araçlarla aktarılmasıyla başarıya ulaşır. Bu aşamada kurumların hedef kitlelerine yönelik yaptığı açıklamaların zamanında ve net olarak yapılması önem teşkil etmektedir.

Kurumsal iletişim özellikle Bilgi Güvenliği vakaları söz konusu olduğunda kurumsal imajı koruyabilmek için önem taşır. Kurumsal iletişim, birçok yönetimsel standartta yer almaktadır. Örneğin ISO 27001-2 A.4.1.6 maddesinde yer alan “kuruluşlar arası işbirliği” ile ilgili madde kurumsal iletişim yönetimi gerekliliği hakkında bilgi vermektedir.

Sızma (Penetrasyon) Testlerinin Önemi

Sızma (Penetrasyon) testi, belirlenen kapsam dâhilinde sistemi oluşturan altyapı, donanım, yazılım ve uygulamalara bir saldırganın izlemesi öngörülen yöntemler kullanılarak bilişim sistemlerine sızılmasıdır.
Bu tip kritik bilgi içeren kurumların gizliliğinin, kullanılabilirliğinin ve bütünlüğünün korunabilmesi oldukça önemlidir. Bu yüzden bilişim sistemlerine bir saldırgan (hacker) gözüyle mümkün olabilecek açıklardan faydalanarak, denenerek sızılması olarak adlandırılan sızma testlerinin (penetration testing) periyodik olarak yaptırılması önem teşkil etmektedir.