Security Misconfiguration Nedir 
Varsayılan Ayarların Sessiz Tehlikesi
“Sistemler genelde kırılarak değil, açık bırakılarak ele geçirilir.”
— Ersan Karavelioğlu
Security Misconfiguration Nedir
Security Misconfiguration, sistemlerin, uygulamaların veya servislerin
varsayılan, eksik ya da hatalı yapılandırmalarla çalıştırılması sonucu oluşan kritik güvenlik zafiyetidir.
Kod doğru olabilir; ayar yanlışsa güvenlik yoktur.
Sessizdir, ama yıkıcıdır.
Neden Bu Kadar Yaygındır
Hızlı kurulumlar
“Sonra bakarız” yaklaşımı
Varsayılan ayarların güvenli sanılması
Kolaylık, güvenliğin düşmanıdır.
OWASP’ta Neden Üst Sıralardadır
OWASP Top 10’da
A05: Security Misconfiguration olarak yer alır.
Gerçek ihlallerin büyük kısmı buradan başlar.
Çünkü en çok
insan hatasına dayanır.
En Yaygın Misconfiguration Türleri
Varsayılan kullanıcı/parola
Açık dizin listeleme
Debug modlarının açık olması
Küçük görünen ayarlar, büyük kapılar açar.
Varsayılan Parolalar Neden Felaket
Üretici tarafından bilinir.
Botlar otomatik dener.
Değiştirilmediyse zaten sızılmıştır.
Gereksiz Servisler ve Portlar
Kullanılmayan ama açık servisler.
Her açık port bir saldırı yüzeyidir.
“Dursun belki lazım olur” güvenlik değildir.
Hata Mesajları ve Debug Bilgileri
Stack trace, SQL hataları, path bilgileri.
Saldırgana sistemin içini anlatır.
Prod ortamda
detaylı hata yasaktır.
Cloud Ortamlarında Misconfiguration
Public S3 bucket’lar
Açık security group’lar
Bulutta en sık yaşanan veri sızıntısı sebebidir.
Güvenli Varsayılan Diye Bir Şey Var mı
Hayır.
Varsayılan ayar
başlangıçtır, bitiş değil.
Her sistem ortama göre sıkılaştırılmalıdır.
Güncelleme ve Patch İhmalinin Rolü
Güncel olmayan bileşenler
Bilinen açıklar
Misconfiguration sadece ayar değil,
ihmaldir.
Yetki Fazlalıkları
Gereğinden fazla izinler
“Çalışsın yeter” mantığı
En az ayrıcalık ilkesi yok sayılır.
Loglama ve Monitoring Eksikliği
Log yoksa saldırı görünmez.
Alarm yoksa müdahale gecikir.
Sessiz tehlike sessiz kalır.
WAF ve Firewall Yanlış Ayarları
Kural var ama etkisiz.
“Any-Any” izinler.
Güvenlik cihazı da yanlış ayarlanabilir.
Otomasyon ve IaC Riskleri
Yanlış template → her yere yayılır.
Hata ölçeklenir.
Otomasyon dikkat ister.
Neden Fark Edilmez
Sistem çalışıyordur.
Performans sorunu yoktur.
Güvenlik sessiz bozulur.
Nasıl Tespit Edilir
Güvenlik taramaları
Konfigürasyon denetimleri
“Çalışıyor mu?” değil, “güvenli mi?” sorusu sorulmalı.
Nasıl Önlenir
Güvenli yapılandırma standartları
Varsayılanların kapatılması
Düzenli denetim
Güvenlik bir süreçtir.
En Büyük Yanılgı
“Kim uğraşacak bizim sistemle?”
Otomasyon uğraşır.
Hedef olmak için özel olmak gerekmez.
Son Söz Sessiz Açıklar, Büyük İhlaller
Security Misconfiguration bağırmaz.
Alarm vermez, kapıyı aralık bırakır.
Güvenlik, en çok
ayar ekranlarında kazanılır ya da kaybedilir.
“Bir sistemi güvensiz yapan şey karmaşıklık değil, ihmal edilen ayarlardır.”
— Ersan Karavelioğlu
