{"id":5831,"date":"2019-04-02T19:15:32","date_gmt":"2019-04-02T16:15:32","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=5831"},"modified":"2019-11-15T14:30:56","modified_gmt":"2019-11-15T11:30:56","slug":"tokens-on-github","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/tokens-on-github\/5831\/","title":{"rendered":"GitHub anahtar s\u0131z\u0131nt\u0131lar\u0131 ve bu s\u0131z\u0131nt\u0131lar\u0131 engelleme yollar\u0131"},"content":{"rendered":"<p>North Carolina State \u00dcniversitesi\u2019nden ara\u015ft\u0131rmac\u0131lar yak\u0131n zamanda token, kripto anahtar ve a\u00e7\u0131k bi\u00e7imde saklanabilen di\u011fer gizli bilgi i\u00e7eren <a href=\"https:\/\/www.zdnet.com\/article\/over-100000-github-repos-have-leaked-api-or-cryptographic-keys\/\" target=\"_blank\" rel=\"noopener nofollow\">100,000\u2019den fazla proje oldu\u011funu ke\u015ffetti<\/a>. Genel kullan\u0131ma a\u00e7\u0131k alanda, 200,000\u2019den fazlas\u0131 e\u015fsiz olmak \u00fczere toplamda yar\u0131m milyondan fazla bahsi ge\u00e7en t\u00fcrden nesne bulundu. Dahas\u0131, bu tokenlar Google, Amazon MWS, Twitter, Facebook, MailChimp, MailGun, Stripe, Twilio, Square, Braintree ve Picatic gibi b\u00fcy\u00fck firmalar tarf\u0131ndan \u00e7\u0131kar\u0131lm\u0131\u015f.<\/p>\n<p>GitHub ortakla\u015fa bir \u015fekilde yaz\u0131l\u0131m geli\u015ftirmek i\u00e7in pop\u00fcler bir kaynakt\u0131r. Kodlar\u0131 a\u00e7\u0131k ya da s\u0131n\u0131rl\u0131 eri\u015fim \u00f6zelli\u011fiyle birlikte havuzda saklamak, i\u015f arkada\u015flar\u0131yla ba\u011flant\u0131 kurmak, i\u015f arkada\u015flar\u0131n\u0131 program testlerine dahil etmek ve kullan\u0131ma haz\u0131r a\u00e7\u0131k kaynak geli\u015ftirmeleri kullanmak i\u00e7in kullan\u0131lmaktad\u0131r. Uygulama ve hizmet yarat\u0131m\u0131n\u0131 olduk\u00e7a basitle\u015ftirmekte ve h\u0131zland\u0131rmaktad\u0131r, bu sebeple de \u00e7o\u011fu programc\u0131 GitHub\u2019\u0131 kullanmaktan memnun. Yaz\u0131l\u0131mlar\u0131n\u0131 a\u00e7\u0131k kaynak mod\u00fcllerine dayanarak yazan \u015firketler aktif bir \u015fekilde GitHub\u2019\u0131 kullanmaktad\u0131r. Buna ek olarak \u015feffaf olmak isteyen firmalar da s\u0131kl\u0131kla kullanmaktad\u0131r.<\/p>\n<p>Buna ra\u011fmen, GitHub\u2019a kod y\u00fcklerken \u00f6zel bir dikkat g\u00f6sterilmeli \u2013 baz\u0131 geli\u015ftiricilerin her zaman dikkate almad\u0131\u011f\u0131 bir tavsiye.<\/p>\n<h2>Genel kullan\u0131ma a\u00e7\u0131k alana hangi veriler girdi<\/h2>\n<p>GitHub\u2019\u0131n, yetkilendirme a\u015famalar\u0131n\u0131 ge\u00e7mek ve kullan\u0131c\u0131lar ya da uygulamalar ad\u0131na belirli eylemleri ger\u00e7ekle\u015ftirmek i\u00e7in yeterli olan tokenleri ve anahtarlar\u0131 i\u00e7eren, eri\u015fime a\u00e7\u0131k kod bloklar\u0131na ev sahipli\u011fi yapt\u0131\u011f\u0131 ke\u015ffedildi. Fark\u0131nda olmadan a\u00e7\u0131klanan bu bilgilerin aras\u0131nda:<\/p>\n<ul>\n<li>B\u00fcy\u00fck web sayfalar\u0131n\u0131n y\u00f6netici hesaplar\u0131n\u0131n oturum a\u00e7ma bilgileri,<\/li>\n<li>Uygulama i\u00e7i API i\u015flevlerinin kullan\u0131m\u0131 etkinle\u015ftiren API anahtarlar\u0131 ya da tokenleri \u2013 \u00e7e\u015fitli sistem bile\u015fenleri, \u00f6rne\u011fin bir program ile bir web sayfas\u0131- aras\u0131ndaki etkile\u015fimler i\u00e7in bulunan ara\u00e7 k\u00fcmesi,<\/li>\n<li>Bir \u00e7o\u011fu \u015fifre de\u011fil de do\u011frulama i\u00e7in kullan\u0131lan ve bir \u015fifreyle kombinasyon halinde olmayan kripto anahtarlar, dolay\u0131s\u0131yla da \u00f6zel a\u011flar\u0131 da i\u00e7erecek \u015fekilde \u00e7o\u011fu kayna\u011fa eri\u015fim sa\u011flamak i\u00e7in tek bir anahtar\u0131n yeterli oldu\u011fu bilinir.<\/li>\n<\/ul>\n<h3>S\u0131zm\u0131\u015f tokenler ve kripto anahtarlar ni\u00e7in bir risk olu\u015fturur<\/h3>\n<p>Hesaplar\u0131n\u0131za yetkisiz eri\u015fim, s\u0131n\u0131rl\u0131 olsa bile, i\u015finiz i\u00e7in ciddi bir tehdit olu\u015fturur. A\u015fa\u011f\u0131dakiler bu tehditler i\u00e7in \u00f6rnek olarak d\u00fc\u015f\u00fcn\u00fclebilir.<\/p>\n<p>GitHub\u2019da yay\u0131nlam\u0131\u015f olan tokenleri k\u00f6t\u00fcye kullanman\u0131n bir yolu posta sald\u0131r\u0131s\u0131 yapmak ve bu postalar\u0131n da s\u00f6zde o tokenleri yay\u0131nlam\u0131\u015f olan firmadan geliyormu\u015f gibi g\u00f6ndermektir. \u00d6rne\u011fin i\u00e7eri s\u0131zm\u0131\u015f birisi kurumsal web sayfas\u0131n\u0131 ya da Facebook veya Twitter hesab\u0131na eri\u015febilir ve zararl\u0131 bir g\u00f6nderi koyabilir ya da \u015fifre avc\u0131l\u0131\u011f\u0131 i\u00e7in oraya bir link yerle\u015ftirebilir. Resmi web sayfalar\u0131 ve hesaplar genellikle g\u00fcvenilir bilgi kaynaklar\u0131 olarak kabul edildi\u011finden, bir\u00e7ok okur g\u00f6nderinin ya da linkin g\u00fcvenli oldu\u011funu kabul edece\u011finden risk y\u00fcksektir.<\/p>\n<p>Buna ek olarak siber su\u00e7lular takip listenizde bulunan herkesin \u015fifresini \u00e7alabilir (\u00f6rne\u011fin MailChimp kullan\u0131yorsan\u0131z). Daha \u00f6nceki senaryoya gelince buradaki beklenti kullan\u0131c\u0131lar\u0131n, kaydolduklar\u0131 ger\u00e7ek bir firmandan gelen postaya g\u00fcvenecek olmalar\u0131d\u0131r. B\u00f6ylesi sald\u0131r\u0131lar firmanin itibar\u0131na ciddi manada zarar verebilir ve m\u00fc\u015fteri kayb\u0131 ile normal \u00e7al\u0131\u015fmaya geri d\u00f6nmek i\u00e7in harcanan zaman bak\u0131m\u0131ndan ciddi bir hasar verebilir.<\/p>\n<p>Son olarak siber su\u00e7lular do\u011frudan bir hizmetin faturaland\u0131r\u0131labilir \u00f6zelliklerini -\u00f6rne\u011fin, Amazon AWS- sizin zarar\u0131n\u0131za kullanabilir. \u00d6rne\u011fin, blogger <a href=\"http:\/\/vertis.io\/2013\/12\/16\/unauthorised-litecoin-mining.html\" target=\"_blank\" rel=\"noopener nofollow\">Luke Chadwick<\/a> bir seferinde kendi anahtar\u0131n\u0131n GitHub\u2019da herkese a\u00e7\u0131k hale geldi\u011fine dair Amazon\u2019dan mesaj alm\u0131\u015ft\u0131. Yapt\u0131\u011f\u0131 bir ara\u015ft\u0131rma sonucunda bir sebeple kapatmay\u0131 unutmu\u015f oldu\u011fu eski bir proje oldu\u011funu buldu. Chadwick Amazon hesab\u0131na giri\u015f yapt\u0131\u011f\u0131nda \u00f6deme bekleyen 3.493 $ oldu\u011funu g\u00f6rd\u00fc. Yetkisiz bir kullan\u0131c\u0131n\u0131n herkese a\u00e7\u0131k olan anahtar\u0131 ele ge\u00e7irdi\u011fini ve hesab\u0131n\u0131 kullanarak kripto para madencili\u011fi yapt\u0131\u011f\u0131 ortaya \u00e7\u0131kt\u0131. Sonunda Amazon Chadwick\u2019in kayb\u0131n\u0131 kar\u015f\u0131lad\u0131. Ancak hikayenin her zaman mutlu sonla bitmedi\u011fini unutmay\u0131n.<\/p>\n<h3>\u00d6zel bilgiler nas\u0131l GitHub\u2019a d\u00fc\u015ft\u00fc<\/h3>\n<p>Ara\u015ft\u0131rma sonu\u00e7lar\u0131n\u0131n analizi, genel kullan\u0131ma a\u00e7\u0131k alana gizli bilgi b\u0131rakanlar\u0131n sadece gen\u00e7 ve tecr\u00fcbesiz programc\u0131lar olmad\u0131\u011f\u0131n\u0131 g\u00f6stermektedir. \u00d6rne\u011fin, b\u00fcy\u00fck bir h\u00fck\u00fcmet kurumunun web sayfas\u0131na eri\u015fim sa\u011flayan veriler 10 y\u0131ll\u0131k takip kayd\u0131 olan bir geli\u015ftirici taraf\u0131ndan GitHub\u2019da yay\u0131nlanm\u0131\u015ft\u0131r.<\/p>\n<p>Tokenler ve her t\u00fcrden anahtar \u00e7e\u015fitli sebeplerle GitHub havuzlar\u0131nda yay\u0131nlanmaktad\u0131r. Bir uygulamay\u0131 belirli bir hizmetle entegre etmek i\u00e7in yetkilendirme ara\u00e7lar\u0131na gerek olabilir. Test etme amac\u0131yla bir kodu yay\u0131nlarken baz\u0131 kullan\u0131c\u0131lar hata ay\u0131klama anahtarlar\u0131 yerine ge\u00e7erli anahtarlar\u0131 kullanmakta ve sonras\u0131nda da bu bilgiyi herkesin eri\u015fiminden kald\u0131rmay\u0131 unutmaktad\u0131r.<\/p>\n<p>\u00d6rne\u011fin, <a href=\"https:\/\/securosis.com\/blog\/my-500-cloud-security-screwup\" target=\"_blank\" rel=\"noopener nofollow\">Securosis analisti ve CEO\u2019su olan Rich Mogull<\/a>, bir konferans raporu i\u00e7in geli\u015ftirmekte oldu\u011fu bir uygulamay\u0131 GitHub\u2019a g\u00f6ndermi\u015f. Program Amazon AWS\u2019ye arama yapmakta ve yerel olarak yetkilendirme i\u00e7in t\u00fcm verileri saklam\u0131\u015f. Buna ra\u011fmen kodun birbirinden ba\u011f\u0131ms\u0131z bloklar\u0131nda hata ay\u0131klama yapmak i\u00e7in \u00e7e\u015fitli eri\u015fim anahtarlar\u0131n\u0131 i\u00e7eren bir test dosyas\u0131 yaratm\u0131\u015f. Hata ay\u0131klamadan sonra Mogull bu anahtarlar\u0131 dosyadan silmeyi \u00f6ylece unutmu\u015f. Bu anahtarlar daha sonra i\u00e7eri s\u0131zanlar taraf\u0131ndan bulunmu\u015f ve farke dilene kadar da Amazon hizmetlerinde 500 $ harcanm\u0131\u015f.<\/p>\n<p>Buna ek olarak geli\u015ftiriciler, GitHub havuzlar\u0131nda ge\u00e7erli tokenleri b\u0131rakman\u0131n risklerinden ve GitHub\u2019a kodu yerle\u015ftirmeden \u00f6nce tokenleri belirlemenin ve silmenin (ya da de\u011fi\u015ftirmenin) gereklili\u011finden haberdar olmayabilir.<\/p>\n<h3>Kaynaklar\u0131n\u0131z\u0131 nas\u0131l korursunuz<\/h3>\n<ul>\n<li>Geli\u015ftiricilerinizin ge\u00e7erli tokenleri ve anahtarlar\u0131 a\u00e7\u0131k havuzlara y\u00fcklemenin zararl\u0131 ve tehlikeli oldu\u011fundan haberdar edin; programc\u0131lar kodu y\u00fcklemeden \u00f6nce, kodun herhangi bir gizli veri i\u00e7ermedi\u011fini teyit etme gereklili\u011fini anlamal\u0131d\u0131r.<\/li>\n<li>\u00dcr\u00fcn m\u00fcd\u00fcr\u00fcn\u00fcn firman\u0131n GitHub projelerinizde herhangi bir gizli bilgi i\u00e7erip i\u00e7ermedi\u011fini kontrol etmesini ve e\u011fer varsa da silmesini sa\u011flay\u0131n; de\u011fi\u015fiklik ge\u00e7mi\u015finde hi\u00e7bir \u015fey kalmayacak \u015fekilde tamamen silinmesi gerekti\u011fine dikkat edin.<\/li>\n<li>Firman\u0131z\u0131n GitHub\u2019da saklad\u0131\u011f\u0131 herhangi bir bilgi \u015fifre i\u00e7eriyorsa, onlar\u0131 de\u011fi\u015ftirin; herhangi birinin bu \u015fifreleri g\u00f6r\u00fcp kodu kaydedip kaydetmedi\u011fini bilmenin hi\u00e7bir yolu yoktur.<\/li>\n<li>\u00c7al\u0131\u015fanlar\u0131n\u0131z\u0131n bilgi g\u00fcvenli\u011fi konusundaki fark\u0131ndal\u0131\u011f\u0131n\u0131 d\u00fczenli olarak art\u0131r\u0131n, bu sayede GitHub\u2019\u0131n ve di\u011fer ara\u00e7larla kaynaklar\u0131n sorumlu bir \u015fekilde kullan\u0131lmas\u0131 al\u0131\u015fkanl\u0131k haline gelsin. <a href=\"https:\/\/k-asap.com\/en\/?utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=tr_kdaily_mh0090_organic&amp;utm_content=link&amp;utm_term=tr_kdaily_organic_mh0090_link_blog_kdaily\" target=\"_blank\" rel=\"noopener\">Platformumuz<\/a> bunlar\u0131 <a href=\"https:\/\/www.kaspersky.com\/blog\/building-cybersecurity-culture\/25729\/\" target=\"_blank\" rel=\"noopener nofollow\">\u00e7al\u0131\u015fmalar\u0131n\u0131z\u0131 etkilemeyecek \u015fekilde etkin ve pratik olarak ger\u00e7ekle\u015ftirmenize yard\u0131mc\u0131 olacakt\u0131r<\/a>.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>GitHub&#8217;da y\u00fcz binlerce token ve kripto anahtar ke\u015ffedildi. Bunun neden k\u00f6t\u00fc oldu\u011funu ve bir s\u0131z\u0131nt\u0131dan nas\u0131l sak\u0131n\u0131laca\u011f\u0131n\u0131 a\u00e7\u0131kl\u0131yoruz.<\/p>\n","protected":false},"author":2509,"featured_media":5832,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1194,1727],"tags":[1893,1894,851,1731],"class_list":{"0":"post-5831","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-api-anahtarlari","10":"tag-github","11":"tag-sizinti","12":"tag-token"},"hreflang":[{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/tokens-on-github\/5831\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/tokens-on-github\/15529\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/tokens-on-github\/13075\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/tokens-on-github\/17453\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/tokens-on-github\/15602\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/tokens-on-github\/14281\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/tokens-on-github\/18148\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/tokens-on-github\/17116\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/tokens-on-github\/22522\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/tokens-on-github\/26238\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/tokens-on-github\/11702\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/tokens-on-github\/22922\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/tokens-on-github\/18205\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/tokens-on-github\/22383\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/tokens-on-github\/22319\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.tr\/blog\/tag\/sizinti\/","name":"s\u0131z\u0131nt\u0131"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/posts\/5831","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/users\/2509"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/comments?post=5831"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/posts\/5831\/revisions"}],"predecessor-version":[{"id":6813,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/posts\/5831\/revisions\/6813"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/media\/5832"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/media?parent=5831"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/categories?post=5831"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/tags?post=5831"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}