Uzak sunucuda bilgilerin güvenliğini sağlamak

[nodcore]

Müşterilerime sunucularımda barındırdığım bilgilerin değiştirilmediğini nasıl garanti edebilirim. Yani bir noterle anlaşma yapsam ve sunucu şifrelerini noter koysa ve bana söylemese ve bunu belgelesek sorunu çözebilirmiyiz. Sunucuda müşteri çok önemli bilgi tutuyor ve benden kimsenin (ben dahil) bu bilgileri görmemesi veya değiştirememesi için garanti istiyor. Kendim programcıyım yazılım olarak bu bilgileri şifreleyerek tutabilirim ama bunu da istemiyor. Sunucu şifresini ben dahil kendi dahil kimsenin bilmesini istemiyor sunucudan harddisk dahil hiç bir donanımın sökülüp takılmasını istemiyor. Benim aklıma gelen bir noterle anlaşıp şifreleri sadece onun bilmesini sağlamak ve sunucu etrafına soğuk mühürlü bir bant yapıştırmak sonrada bunu belgelemek. Böyle bir şey mümkünmü? Ben noter dedim ama başka yetkili kurum da olabilir emin değilim.

[javier21]

Müşterilerime sunucularımda barındırdığım bilgilerin değiştirilmediğini nasıl garanti edebilirim. Yani bir noterle anlaşma yapsam ve sunucu şifrelerini noter koysa ve bana söylemese ve bunu belgelesek sorunu çözebilirmiyiz. Sunucuda müşteri çok önemli bilgi tutuyor ve benden kimsenin (ben dahil) bu bilgileri görmemesi veya değiştirememesi için garanti istiyor. Kendim programcıyım yazılım olarak bu bilgileri şifreleyerek tutabilirim ama bunu da istemiyor. Sunucu şifresini ben dahil kendi dahil kimsenin bilmesini istemiyor sunucudan harddisk dahil hiç bir donanımın sökülüp takılmasını istemiyor. Benim aklıma gelen bir noterle anlaşıp şifreleri sadece onun bilmesini sağlamak ve sunucu etrafına soğuk mühürlü bir bant yapıştırmak sonrada bunu belgelemek. Böyle bir şey mümkünmü? Ben noter dedim ama başka yetkili kurum da olabilir emin değilim.

Şimdi konuyu tam anlamaya çalışıyorum şimdi ilk olarak bu kişiler niye bilgilerini sizin sunucularınızda yedekliyor, eğer bu bilgilere inernet üzerinden erişim sağlanması amacıyla sizin sunucularınızda yedekleniyorsa bu bilgilerin kopyalanamayacağı garantisini vermeniz çok zor fakat şöyle bir işlem uygulanabilir belki ülkemizde bir ilk olacak ama
Bilgilerin tutulduğu kasanın ilk önce flash disk yuvaları mühürlenir daha sonra kasanın açılmaması için arkası mühürlenir,ayrıca bu bilgisayarın kablosuz erişime kapalı olduğu ve kablo ilede herhangi bir erişime kapalı olduğu da noter tarafından tasdik edilir, hatta daha da güvenlik isteniyorsa bu bilgisayar kilitli bir kutunun içine konarak tabiki kabloların çıkabileceği bir delik açılması suretiyle müşteri tarafından şifreli kilitle kilitlenir ve bu işlemde notertarafından tasdiklenir ve son olarak şifrelerinde müşteri tarafından belirlenmesi işlemi yapılır bu da tasdiklenir
Müşteri çok ciddi meblağda tutabilecek noter masrafını üstlenmeyi kabul ediyorsa bu şekilde işlem yapabilirsiniz.

[nodcore]

Noter ücretinin çok önemi yok şuan sadece işin olurunu öğrenmek istiyorum yani bu işi noter yapabilir. Peki sunucuya ağ üzerinden ulaşmak için gerekli olan şifreler de sadece noter de kalabilirmi. Gerekli olduğunda noter den alınığ işlem yapılığ tekrar notere yeni şifre belirlemesini istemek.

[javier21]

Noter ücretinin çok önemi yok şuan sadece işin olurunu öğrenmek istiyorum yani bu işi noter yapabilir. Peki sunucuya ağ üzerinden ulaşmak için gerekli olan şifreler de sadece noter de kalabilirmi. Gerekli olduğunda noter den alınığ işlem yapılığ tekrar notere yeni şifre belirlemesini istemek.

Eğer kişi bu şifrenin kesinlikle öğrenilmesini istemiyorsa tahminimce noterede vermek istemez, bu durumda şifreyi müşterinin koyduğu ve sadece müşterinin bildiği noter tarafından tasdik ettirilir daha sonra herhangi bir işlem yapılacağı zaman müşteri gelerek şifresini girer siz işlemlerinizi yaparsınız oda tekrar şifresini yeniler.
Aksi takdirde şifreler noterden alındığında sizin o şifrelerle sunucudaki bütün bilgileri kopyalamayacağınızın garantisini müşteri elde edemez.

[Av.Emrah Yavuzcan]

Müşterilerime sunucularımda barındırdığım bilgilerin değiştirilmediğini nasıl garanti edebilirim. Yani bir noterle anlaşma yapsam ve sunucu şifrelerini noter koysa ve bana söylemese ve bunu belgelesek sorunu çözebilirmiyiz. Sunucuda müşteri çok önemli bilgi tutuyor ve benden kimsenin (ben dahil) bu bilgileri görmemesi veya değiştirememesi için garanti istiyor. Kendim programcıyım yazılım olarak bu bilgileri şifreleyerek tutabilirim ama bunu da istemiyor. Sunucu şifresini ben dahil kendi dahil kimsenin bilmesini istemiyor sunucudan harddisk dahil hiç bir donanımın sökülüp takılmasını istemiyor. Benim aklıma gelen bir noterle anlaşıp şifreleri sadece onun bilmesini sağlamak ve sunucu etrafına soğuk mühürlü bir bant yapıştırmak sonrada bunu belgelemek. Böyle bir şey mümkünmü? Ben noter dedim ama başka yetkili kurum da olabilir emin değilim.

Sözleşme serbestisi dolayısıyla, kanuna ve ahlaka aykırı olmadığı sürece herhangi bir şekilde iş sahibi ile sözleşme yapabilirsiniz. Olay hukuki bir mesele olmayıp, teknik içerikli kişisel bir problemdir. Olayın teknik kısmının burada tartışılması gereksiz olup, iş sahibi ile yapacağınız anlaşma bağlayıcıdır.

[javier21]

Sözleşme serbestisi dolayısıyla, kanuna ve ahlaka aykırı olmadığı sürece herhangi bir şekilde iş sahibi ile sözleşme yapabilirsiniz. Olay hukuki bir mesele olmayıp, teknik içerikli kişisel bir problemdir. Olayın teknik kısmının burada tartışılması gereksiz olup, iş sahibi ile yapacağınız anlaşma bağlayıcıdır.

Sayın Emrah bey olayda teknik konuların tartışılmasının nedeni yapılacak taraflar arasında yapılacak sözleşmenin iki tarafada tam bir koruma sağlayamamasıdır.
Çünkü sözleşmeye aradaşımız "bu sunucudaki bilgiler hiç bir şekilde kopyalanmayacaktır aksi takdirde .... kadar miktar müşteri x'e ödenecektir" şeklinde bir madde koyduğu zaman , bu bilgilerin gerçekten kopyalanıp kopyalanmadığının anlaşılması mümkün olamayacaktır.
Bu bilgilerin başka bir yere kopyalandığı anlaşıldığında da sözleşmenin tarafı olan kişilerden hangisi tarafından kopyalandığı yine anlaşılamaz.
Bu nedenlerden dolayı teknik olarak açık bırakılmayacak bir düzen oluşturulması gerekmektedir.

[Av.Feyz Pazarbaşı]

Sayın Emrah bey olayda teknik konuların tartışılmasının nedeni yapılacak taraflar arasında yapılacak sözleşmenin iki tarafada tam bir koruma sağlayamamasıdır.
Çünkü sözleşmeye aradaşımız "bu sunucudaki bilgiler hiç bir şekilde kopyalanmayacaktır aksi takdirde .... kadar miktar müşteri x'e ödenecektir" şeklinde bir madde koyduğu zaman , bu bilgilerin gerçekten kopyalanıp kopyalanmadığının anlaşılması mümkün olamayacaktır.
Bu bilgilerin başka bir yere kopyalandığı anlaşıldığında da sözleşmenin tarafı olan kişilerden hangisi tarafından kopyalandığı yine anlaşılamaz.
Bu nedenlerden dolayı teknik olarak açık bırakılmayacak bir düzen oluşturulması gerekmektedir.

Hiçbir sözleşme tam koruma sağlayamaz. Taraflardan biri haksız bir şekilde sözleşmeden döndüğünde veya şartları ihlal ettiğinde diğerini koruyacak yegane şey sözleşmenin dayandığı hukuktur.
Buradaki muhtemel konu veritabanının korunmasıdır. Ancak harddisk değişmeden, hatta şifre dahi bilinmeden hdd'nin kopyası bir şekilde alınsa, sql tablolarına ulaşmak zor değildir. (Nasıl olacağını anlatmam doğru olmaz, olabileceğini zaten biliyorsunuz farzediyorum).
Konuyu bir başka yönden ele alırsak vereceğiniz hizmet managed dedicated ise (veya co-location) şifreyi bilmek zorundasınız. Server tamamen müşteri kontrolünde kalacaksa siz bilmeseniz de olur ama onun bu servera müdahale etmesi gerekecektir ki o zaman şifrenin müşterinin bilmesi zorunludur. Aksi takdirde arıza halinde sizden müdahale talep etme hakkı yoktur, tüm sorumluluk kendisine aittir.
Üstelik müşterinizin sql injection yemeyeceği veya hacklenmeyeceğini garanti edebilir misiniz? Böyle bir sorumluluk altına imza atmak yerine, müşterinizin size güveninin tam olduğunu anlamanız, bu konuda şüpheye mahal bırakmayacak derecede bir sözleşme yapmanız gerekir. Karşılıklı güvene dayanmayan bir sözleşmenin tarafı olmamalısınız. Güven ihlali halinde de zaten müşteriniz yasalarca korunur, suçunuz sabit olursa gerekli hukuki ve cezai yaptırımlara çarptırılırsınız. Ayrıca yine de bu sözleşme yapılacaksa malumunuz administrator yetkilendirilmeleri isteğe göre düzenlenebilir...
Bu nedenle noter fikri gösterimlik olarak harika bir fikir olsa da fiili açıdan tatminkar bir çözüm değildir düşüncesindeyim.

[javier21]

Server tamamen müşteri kontrolünde kalacaksa siz bilmeseniz de olur ama onun bu servera müdahale etmesi gerekecektir ki o zaman şifrenin müşterinin bilmesi zorunludur. Aksi takdirde arıza halinde sizden müdahale talep etme hakkı yoktur, tüm sorumluluk kendisine aittir.

Üstelik müşterinizin sql injection yemeyeceği veya hacklenmeyeceğini garanti edebilir misiniz? Böyle bir sorumluluk altına imza atmak yerine, müşterinizin size güveninin tam olduğunu anlamanız, bu konuda şüpheye mahal bırakmayacak derecede bir sözleşme yapmanız gerekir. Karşılıklı güvene dayanmayan bir sözleşmenin tarafı olmamalısınız. Güven ihlali halinde de zaten müşteriniz yasalarca korunur, suçunuz sabit olursa gerekli hukuki ve cezai yaptırımlara çarptırılırsınız.

Bu durumda arıza halinde müşteri serverın bulunduğu yere gelerek noter dahlinde tabiki şifresini girer, siz gerekli tamiratı yaptıktan sonrada müşteri yeni şifresini girer ve gider.

Müşterinin hacklenmesi durumunda sizin herhangi bir sorumluluğunuz olamayacaktır çünkü şifresini bilmediğiniz ve serverına hiçbir erişiminizin olmadığı tamamen noter tasdiklidir.

Müşterinin güveni tam olsa zaten bu kadar uğraşa sokmaz direk "sen bana pane şifresini ver ben hallederim" derdi

Güven ihlalinde suçun sabit olmasından bahsetmişsiniz fakat burda sorun bu tarz durumlarda güven ihlalinin kimin tarafından yapıldığının tespit edilememesi olacaktır.Çünkü bu bilgiler sizinde dediğiniz gibi hack,müşterinin başka birine vermesi,arkadaşımızın kopyalaması gibi bir çok şekilde dışarı çıkabilir bu durumda olayın orijininin tespit edilmesi malesef mümkün değildir.

Bu nedenle arkadaşımız noter aracılığıyla yukarıda saydığımız yöntemlerle en azından kendini tam olarak sağlama alarak bilgilerin dışarı sızması durumunda tüm sorumluluğun müşteriye ait olmasını sağlayabilir.

[nikon]

Bilişim sistemlerinde kesinlik yoktur,hiçbir şey %100 garanti edilemez.Bu tarz bir sözleşme teknik olarak mantıklı değildir.