Sitemap

Sign in

Medium Logo
Write

Sign in

Mastodon

Uygulama Güvenliğinde Hassas Bilgilerin Korunması: Derinlemesine İnceleme

Mertcan Arguç
6 min readDec 11, 2024
hgs hack, hgs bildirim

HGS iOS uygulamasının hacklenmesi, dijital ürünlerde güvenlik ihlallerinin sadece büyük ölçekli şirketlerin değil, günlük hayatımızda kullandığımız servislerin de başına gelebileceğini kanıtladı. Bu vakada saldırganlar, iPhone kullanıcılarına küfür içerikli bildirimler göndermeyi başardı; devamında ise kullanıcı verilerinin sızdırılacağı tehdidi ile Bitcoin talep ettiler. Bu olay, uygulama güvenliğinin sadece “geliştirmenin son aşamasında” ele alınacak bir adım olmadığını, aksine projenin en başından itibaren temel bir prensip olarak benimsenmesi gerektiğini ortaya koydu.

Aşağıda, Backend, Frontend ve Mobil uygulama geliştiricilerinin hassas yapılandırma değerlerini nasıl güvenli bir şekilde yöneteceklerine dair kapsamlı bir rehber bulacaksınız. Bu rehberde basit hatırlatmalardan tutun, gerçek hayatta sık karşılaşılan yanlış uygulamalara ve bunların çözüm yollarına kadar birçok noktaya değineceğiz. Ayrıca, doğru ve hatalı örnek kod parçacıkları ile anlatımı somutlaştıracağız.

Neden Hassas Değerleri Koruma Altına Almalıyız?

Dijital dünyada bir uygulamanın kalbi diyebileceğimiz API KEY’ler, SECRET’lar, veritabanı parolaları ve erişim token’ları, saldırganlar için değerli hedeflerdir. Örneğin bir veritabanı bağlantı bilgisi ifşa olduğunda saldırganlar tüm kullanıcı verilerine ulaşabilir; bir ödeme API’sine ait SECRET açığa çıktığında sahte işlemler yapılabilir. HGS vakasında gördüğümüz gibi, saldırganlar sistem mesajlaşma altyapısını ele geçirdiğinde marka itibarını zedeleyen, hukuki ve maddi sonuçlar doğurabilecek eylemlerde bulunabiliyor.

Geliştirme ekibi olarak görevimiz, uygulamamızın bir parçası olan bu hassas bilgileri mümkün olan en üst düzeyde korumaktır. Bu, sadece teknik bir önlem değil, aynı zamanda kullanıcılarımızın bize duyduğu güveni sarsmamak için bir zorunluluktur.

Backend Tarafında Hassas Bilgilerin Yönetimi

Backend servisler genellikle veritabanı bağlantı bilgileri, harici API anahtarları, OAuth CLIENT_SECRET’lar, mesaj kuyrukları için kimlik bilgileri gibi pek çok hassas veriyi yönetmek zorundadır. Yanlış bir uygulamada tüm bu değerlerin kaynak koduna gömüldüğünü görebiliriz. Bu hatanın nelere yol açabileceğini tahmin etmek zor değil: Kod deposuna sızan bir saldırgan (hatta belki bir açık kaynak projede rastgele bir yabancı), tüm hassas bilgilere de sahip olur.

Yanlış Uygulama Örneği (Backend):

// Kötü Örnek: Bu kodda SECRET direkt olarak gömülmüş durumda
const express = require('express');
const app = express();

// API anahtarları ve parolalar doğrudan kod içinde!
const DB_PASSWORD = 'P4ssw0rd!';
const API_SECRET = 'mySecretKey123';
app.get('/data', (req, res) => {
  // Bu endpoint gizli veri kullanıyor
  res.send(`DB Password: ${DB_PASSWORD} - Secret: ${API_SECRET}`);
});
app.listen(3000, () => console.log('Uygulama çalışıyor...'));

Bu örnekte saldırgan, Git deposuna erişirse veya herhangi bir şekilde kodu elde ederse anında hem veritabanı hem de API erişim bilgilerine sahip olur.

Doğru Uygulama Örneği (Backend):

// İyi Örnek: Hassas bilgiler env değişkenlerinden alınıyor, kod tabanında sabit yok.
require('dotenv').config();
const express = require('express');
const app = express();

// SECRET değerler sadece environment değişkenlerinden alınıyor
const DB_PASSWORD = process.env.DB_PASSWORD;
const API_SECRET = process.env.API_SECRET;
app.get('/data', (req, res) => {
  res.send('Gizli verilere sadece runtime ortamında erişiliyor.');
});
app.listen(3000, () => console.log('Uygulama çalışıyor ve SECRET veriler güvende.'));

Burada .env dosyası (ki bu dosya .gitignore ile commit edilmez) veya CI/CD pipeline’da saklanan environment değişkenleri kullanılır. Üretim ortamında bu değerler HashiCorp Vault, AWS Secrets Manager veya Google Secret Manager gibi bir çözümden çekilebilir.

Secret Management Araçlarının Rolü

Environment değişkenleri ilk adım olsa da, daha ileri seviyede güvenlik için profesyonel secret yönetim araçlarını kullanmak kritik önem taşır. Örneğin HashiCorp Vault, tüm hassas bilgileri şifreli bir şekilde saklar, erişim denetimi ve detaylı loglar sunar, periyodik anahtar rotasyonunu kolaylaştırır.

Örneğin Vault kullanarak bir veritabanı parolasını dinamik olarak üretebilir, her istekte farklı bir parola bile alabilirsiniz. Saldırgan bir parolayı ele geçirse bile kısa süre sonra geçersiz hale gelir.

Vault Kullanım Örneği (Kuramsal):

  1. Vault’a veritabanı kimlik bilgilerini ekleyin.
  2. Uygulamanız açılışta Vault’a kimlik doğrulaması yapıp dinamik bir veritabanı parolası alır.
  3. Bu parola belirli bir süre sonra otomatik olarak değiştirildiğinden saldırganın işine yaramaz.

Bu yaklaşım, statik anahtarların bir kez sızdığında yarattığı uzun vadeli hasarı büyük ölçüde azaltır.

Frontend Geliştirmede Özel Dikkat

Frontend uygulamaları (React, Angular, Vue vb.) tarayıcıda çalıştığı için dağıtılan kod kullanıcılar tarafından görülebilir, incelebilir. Bu nedenle Frontend koduna bir SECRET sabitlenmesi, adeta “lütfen saldırın” demek gibidir. Örneğin bir ödeme altyapısı anahtarını Frontend tarafına gömmek çok tehlikelidir.

Yanlış Uygulama Örneği (Frontend):

// Kötü Örnek: API KEY doğrudan Frontend kodunda
const MAPS_API_KEY = 'ABC123XYZ_SECRET';

fetch(`https://maps.example.com?key=${MAPS_API_KEY}`)
  .then(response => response.json())
  .then(data => console.log(data));

Bu kodu inceleyen herhangi biri (örneğin uygulama paketini browser’da network sekmesinden, ya da kaynak kodunu minimize edilmemiş halini bulup) API KEY’i kolaylıkla elde edebilir.

Doğru Uygulama Örneği (Frontend):

// İyi Örnek: Frontend kodda hassas key yok, backend üzerinden geçici key alınıyor.
fetch('/get-maps-key')
  .then(response => response.json())
  .then(data => {
    const TEMP_KEY = data.tempKey; // Backend'den gelen geçici key
    return fetch(`https://maps.example.com?key=${TEMP_KEY}`);
  })
  .then(response => response.json())
  .then(mapsData => console.log(mapsData));

Burada /get-maps-key endpoint’i Backend tarafında kullanıcının kimliğini doğrular, rate limit uygular ve gerekirse IP tabanlı sınırlamalar koyar. Böylece saldırgan KEY’i kolayca kopyalayamaz, kopyalasa da belki kısa ömürlüdür ya da sadece belirli kullanıcıya özgüdür.

Mobil Uygulamalarda Güvenli Yaklaşımlar

Mobil uygulamaların binary’leri deşifre edilebilir, geri mühendislik (reverse engineering) uygulanabilir. Bu nedenle hassas bilgileri doğrudan mobil uygulama içerisine gömmek yine risklidir. Örneğin iOS veya Android uygulamasında sabit bir SECRET kullandığınızda, saldırgan uygulamayı decompile edip SECRET’ı bulabilir.

Bu durumun önüne geçmek için:

  • Kullanıcının kimlik doğrulamasını başardıktan sonra Backend üzerinden geçici bir TOKEN alın.
  • Bu TOKEN’ı iOS’ta Keychain’de, Android’de Keystore’da saklayın. Bu alanlar cihazın kendisinde donanım tabanlı güvenlik sağlar.
  • TOKEN’ın ömrünü kısıtlayın, düzenli rotasyon yapın. Saldırgan bir şekilde bu TOKEN’a ulaşsa bile kısa süre sonra geçersiz olur.

Yanlış Uygulama Örneği (Mobil — Android):

// Kötü Örnek: API KEY doğrudan kodda sabitlenmiş
public class ApiClient {
    private static final String API_SECRET = "HARDCODED_SECRET_123";

public void doRequest() {
        // Bu istek saldırgan tarafından kolayca keşfedilebilir
        // reverse engineering ile API_SECRET elde edilir.
    }
}

Doğru Uygulama Örneği (Mobil — Android/Pseudo):

public class ApiClient {
    // API Secret hiçbir zaman direkt kodda bulunmuyor.
    // Kullanıcı oturum açtıktan sonra Backend'den JWT veya kısa ömürlü bir TOKEN alınır.

    private String sessionToken;
       public void initializeSessionToken(String token) {
        this.sessionToken = token;
        // Bu token'ı Android Keystore'da saklayabilirsiniz.
        // Keystore'dan token'ı çekmek için donanım tabanlı güvenlik devrede.
    }
       public void doSecureRequest() {
        // Her istek, Keystore'dan alınan token ile imzalanır veya header'da gönderilir.
        // Token sızsa bile kısa ömürlü ve kullanıcıya özel olduğundan zarar sınırlı.
    }
}

Bu yaklaşımda uygulama ilk açılışta değil, kullanıcı kimlik doğrulamasından sonra Backend’den güvenli bir TOKEN alır. Bu TOKEN Keystore’da tutulur, normal bir saldırgan için elde etmek çok daha zordur. Ayrıca TOKEN süreli olduğundan sızıntı olsa bile uzun vadeli zarar en aza iner.

Loglama, İzleme ve Hata Ayıklama Süreçleri

Hassas bilgilerin loglarda tutulması da büyük bir risktir. Üretim loglarında bir SECRET’ın ifşa olması, saldırgana altın tepside hediye vermek demektir. Bu nedenle:

  • Loglarda hassas değerleri maskeleyin: API_SECRET=****
  • Geliştirme sürecinde hata ayıklama için geçici olarak loglasanız bile, üretim ortamında kesinlikle bu bilgileri yazmayın.

Yanlış Uygulama Örneği (Loglama):

console.log(`Database password is ${DB_PASSWORD}`); // Çok kötü!

Doğru Uygulama Örneği (Loglama):

console.log(`Database password is set but hidden.`);
// Veya eğer bir maskeleme gerekiyorsa:
// console.log(`Database password: ${DB_PASSWORD.substring(0,2)}****`);

Ayrıca sisteminizde beklenmedik davranışları (örneğin normalden çok daha fazla sayıda başarısız kimlik doğrulama denemesi, anormal sayıda istek) izleyen bir monitöring sistemi kurun. Bu tür anomali tespiti araçları, potansiyel saldırıları erken safhada yakalamanıza yardımcı olur. Örneğin Prometheus + Grafana, ELK Stack veya Datadog gibi çözümlerle saldırı izlerini daha erken fark edebilir, uyarılar alıp müdahaleye geçebilirsiniz.

Vault, Rotasyon ve Sıfır Güven Prensibi

Güvenlik dünyası bugün “Zero Trust” (Sıfır Güven) yaklaşımını benimsiyor. Bu yaklaşımda, hiçbir sistem veya kullanıcı tamamen güvenilir kabul edilmez, her erişim isteği yeniden değerlendirilir, her SECRET düzenli olarak yenilenir (rotate edilir). Bu rotasyon, sızan bir anahtarın ömrünü kısaltır. Örneğin:

  • Veritabanı parolası her 30 günde bir değişir.
  • OAuth CLIENT_SECRET’ları düzenli olarak yenilenir.
  • Geçici token’lar sadece birkaç saat geçerlidir.

Bu otomasyon, CI/CD pipeline’ınıza entegre edilebilir. Deployment öncesi otomatik olarak Vault’tan yeni parolalar çekilir, uygulama konteyner’ı bu yeni değerlerle ayağa kalkar. Saldırgan parolayı ele geçirse bile kısa süre sonra işe yaramaz hale gelir.

Yaşanan Olaydan Çıkarılacak Dersler

HGS hack vakası bize şunları öğretiyor:

  1. Güvenlik en baştan düşünülmeli: Projenin ilerleyen aşamalarında değil, daha tasarım aşamasında hassas verilerin nasıl yönetileceği belirlenmeli.
  2. Hassas verileri kod tabanına gömmeyin: Environment değişkenleri, Secret Manager’lar, CI/CD pipeline entegrasyonu, Vault gibi araçlar kullanın.
  3. Frontend ve Mobil uygulamalarda gizli anahtar yok: Bu platformlar kullanıcı tarafında çalıştığı için kodunuz incelenebilir. Hassas değerleri Backend yoluyla, geçici ve kısıtlı şekillerde dağıtın.
  4. Loglarınızı temiz tutun: Hassas bilgileri loglara yazmak, saldırganın ek bir hediye kazanması demektir.
  5. İzleme ve uyarı sistemleri kurun: Anormal davranışları erken tespit edin, saldırıları başlamadan önleyin.

Sonuç

HGS iOS uygulamasının hacklenmesi, dijital güvenlik dünyasının artık ertelenemeyecek, hafife alınamayacak bir sorumluluk alanı olduğunu gösteriyor. API KEY, SECRET, TOKEN gibi kritik yapılandırma değerlerini doğru bir şekilde yönetmek, sadece teknik bir detay değil; kullanıcı güveninin, marka itibarının ve hukuki sorumlulukların korunması için vazgeçilmez bir gereklilik. Bu yazıda ele aldığımız yanlış/doğru kod örnekleri, secret yönetimi yaklaşımları, Frontend/Mobil stratejileri, loglama politikasının önemi ve izleme/uyarı mekanizmaları, projenizi daha güvenli hale getirme yolunda size rehberlik edecektir.

Unutmayın, bu önlemler “aşırı titizlik” değil, günümüzün siber tehdit ortamında birer temel zorunluluktur. İyi tasarlanmış güvenlik uygulamaları, hem bugün hem de yarın, ürününüzü ve kullanıcılarınızı tehlikelerden korumak adına size büyük avantaj sağlayacaktır.

Security
Technology
Software Development
Software Engineering
Web Development

--

--

Mertcan Arguç
Mertcan Arguç

Written by Mertcan Arguç

2.2K followers
45 following

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Rules

Terms

Text to speech