BTK, internet erişimi konusunda en sonunda tüketiciyi hatırladı. Türkiye'de internet servis sağlayıcılığı operasyonlarının başlamasından 14 yıl sonra, İnternet Servis Sağlayıcılar için hizmet kalitesi tebliği yayınladı. Tebliğin amacı, hizmet kalitesi ölçüt ve hedef değerlerinin tespiti ile ölçümlerinin yapılmasına ilişkin usul ve esasları belirlemek olarak verildi. Tebliğ sadece sabit internet hizmeti veren operatörlerin hizmetlerinin değerlendirilmesini içeriyor.

Pazar payı %4 ve üzerinde olan İSS’ler ve kablo internet hizmeti sunan işletmeciler, tebliğin yükümlüsü olarak tanımlandı.

12/9/2010 tarihinde yayınlanan Elektronik Haberleşme Sektöründe Hizmet Kalitesi Yönetmeliğine dayanılarak hazırlanan tebliğde "Ölçütler ve Uyulacak Kurallar" başlığı altında 3 tane ölçüt veriliyor;

• Veri Aktarım Hızı
  
• Bağlantı Süresi
  
• Fatura Şikayet Oranı
  

Veri aktarım hızında, test amaçlı belirlenen dosya, kullanıcı ekipmanları ile indirilecek ve tespit yapılacak. Bu tespit için "Tüm indirme işlemlerinin en hızlı %95’inin gerçekleştirilmesinde ulaşılan hız" kavramı ortaya konuluyor. 

"Fatura Şikayet Oranı" olarak ise, şikayete neden olan fatura sayısı ile, o ay çıkarılan toplam faturaların oranı alınıyor.

Kablo işletmeciler (şu anda sadece Türksat var) için 1 ocak 2013'de başlatılacak olan tebliğin gereğince yürütülmesi önemli çünkü Türkiye'nin ortalama internet hızı Akamai ve Google raporlarına göre hala 2,5 Mb'ler civarında gözüküyor. Oysa bırakın dünyayı, ekonomik kriz yaşayan en yakın komşularımızda bile daha yüksek rakamlar veriliyor.

Hizmet Kalitesi Tebliği'ne "İNTERNET SERVİS SAĞLAYICILIĞI HİZMETİ SUNAN İŞLETMECİLERE İLİŞKİN HİZMET KALİTESİ TEBLİĞİ" linkinden ulaşabilirsiniz.

Kaynak: http://turk.internet.com/portal/yazigoster.php?yaziid=36009

Hoster'ları ilgilendirecek ve henüz yamanmamış Zero Day (Şimdiye kadar gün yüzüne çıkmamış, ilk defa duyulan güvenlik açıklarını tanımlar.) bir güvenlik açığı bulundu.

IIS 7.5.7600.16385 versionun'da Windows 7 ve Windows Server 2008 R2 de geçerli olan bu açıklık IIS 7.5'in FTP Servisinin pre-authentication özelliğinin memory corruption (hafıze bozukluğu) tipinde sömürülmesi ile gerçekleştiriliyor ve sonuçunda ise hizmet cevap veremez (denial of service) hale geliyor.

Microsoft konu ile ilgili bir bilgilendirma yayınlamış : http://blogs.technet.com/b/srd/archive/2010/12/22/assessing-an-iis-ftp-7-5-unauthenticated-denial-of-service-vulnerability.aspx

Konu ile ilgili ayrıntılı bilgiyi aşağıdaki adreslerde bulabilirsiniz.

• http://www.kb.cert.org/vuls/id/842372
• http://secunia.com/advisories/42713
• http://www.exploit-db.com/exploits/15803/

Bu analizin "özet" olan ilk bölümünü burayı tıklayarak okuyabilirsiniz.


Ülkemizde telekom alanında neyin ne olduğu çok net gözükmüyor. 2-3 yıldır piyasaya sunulan bir sürü kampanya arasında, kullanıcının hem hızlar, hem de fiyatlar konusunda kafası çok karışık. Satın alınan bir hız ve ucuz olduğu düşünülen fiyatlar var ama gerçekleşenler karışık. İnternet konusunda çok ilerdeyiz sanılıyor ama yurtdışındaki verilere bakılınca durum pek de böyle gözükmüyor.

Bakıyorsunuz, TTnet dışındaki ISS'lerin ismi var, cismi ise zar zor var (yokolanlar da var tabi), Türkçe içerik ancak emekliyor, yurtdışında kendi başına bir pazar olan veri merkezi sektörü ise ülkemizde yok, bu işlev ancak var olan ISS'ler tarafından yerine getiriliyor.

Veri merkezi kurmak üzere ülkemizi ziyaret eden yabancı yatırımcı ise, durumu görüyor ve Bulgaristan ya da Romanya'ya gidiyor.

Artık yaşadığımız dünya global bir dünya. Dolayısıyla burada verilen bir istatistiği ya da durumu, şurada başka bir durumla karşılaştırıp yorumlamak mümkün. Veri merkezlerine bakıldığında, örneğin Google dünya çapında 30.000 sunucu işletiyor, Yahoo 60.000, HP 300+ bin, IBM 300+ bin. Bu sunucular ülkemize gelemiyor, yabancı yatırımcı günümüzün yatırım yıldızı ülkemize gelip, yatırım yapmadan geri gidiyorsa, bunun nedenine bakmak gerekir.

Ulaştırma Bakanı da "Internet içeriğinin zenginleştirilmesi ve yurtdışından yurt içine çekilmesi" gerek diyor. Zaten son bir ay içerisinde Ulaştırma Bakanı Binali Yıldırım çeşitli konuşmalarında, yurtdışına yerleşmiş olan içeriğin yurtiçine çekilmesi için çalışma yapıldığını, Türk Telekom'un fiyatları ucuzlatacağını söylüyordu. Bu sözler pek çok içerikçi için umutlu bir bekleyişe yol açıyordu ve bu umutlar hafta başında sona erdi. Sektörün düzenleyici kurumu olan BTK, Türk Telekom'un ilgili tarifesini onaylandığı kurul kararını sayfalarına koydu[1].

Hemen arkasından da Ulaştırma Bakanı Binali Yıldırım müjde verdi[2].

Tarifenin uygulama esasları henüz ortada olmamasına rağmen, tarife ne yazık ki bekleneni vermekten uzak. Üstelik tarifenin bir tarafında 2 yıl süreyle bedava sözü geçiyor ama yurtiçi içeriğe değil. Bu da dolayısıyla taraflarda bir hüsran yarattı. Tekrar söylemek isteriz ki henüz uygulama esasları ortada değil ancak yayınlanan karara bakarak, kısaca durumun özetini şöyle verebiliriz;

•  
  
  - İşletmecilerin ve son kullanıcıların makul bir ücret karşılığında elektronik haberleşme şebeke, altyapı ve hizmetlerinden yararlandırılması
  
  - Tüketici menfaatlerinin gözetilmesi
  
  - Hizmetin kullanımının teşvik edilmesi yönüyle elektronik haberleşme hizmetleri arzı ve yeni yatırımların özendirilmesi
  
  
  a. Öncelikle denetleme düzenleme görevi Bilgi Teknolojileri Kurumuna 5689 sayılı yasa ile verilmiş bir görev. Oysa kurumun bu görevi başka şirket veya kuruluşlara devretme yetkisi bulunmuyor. Bu polisin sanıkları tutuklama görevini, mahkemelerin yargılama görevlerini başkalarına delege etmeleri gibi bir durum yaratıyor.
  
  b. Kaldı ki Türk Telekom adı geçen diğer ISS'lerle yoğun bir rekabet içerisinde. Bu tür bir denetleme hakkının Türk Telekom'a verilmesi büyük bir rekabet sorunu yaratabilecektir.
  
  c. Yine Bilgi Telnolojileri Kurumu kendi düzenlediği bir başka kararla yine çelişiyor. Kurum bundan bir süre önce telekomünikasyon sektöründe yetkilendirmiş olduğu kuruluşlardan 27001 Bilgi Güvenliği Sertifikası almalarını talep etmişti. Bu kurumların kendi aldıkları sertifikanın gereği olan gizliliği kendi dışındaki kişilerle paylaşmalarını ve kendi müşterilerinin bilgilerinin gizliliğini riske atmaları gibi bir durum oluşturuyor.
  
  d. Yine Türk Telekom'a verilen bu kontrol hakkı, ISS'in müşterilerinin sunucularına uzaktan erişim, yerinde inceleme, switch/routerkontrolü, IP erişimleri, ISS'in kullanıcısına tahakkuk ettirdiği faturayı isteme gibi boyutlara ulaşabilmekte. Üstelik bu doğrultuda hazırlanacak olan sözleşmeyi imzalamayan ISS'ler bu uygulamadan yararlanamayacaklar. Sanırım böyle bir sözleşmeyi kendini kurumsal olarak kabul eden hiçbir
  Telekomünikasyon İşletmecisi imzalamayacaktır.
  
  e. Diğer taraftan aynı tarifelerin Türk Telekom Veri Merkezi içerisinde uygulanması sırasında Türk Telekom'un nasıl denetleneceğine değinilmemiş, adeta keyfi uygulamanın önü açılmıştır. Örneğin ISS müşterilerinden istenen sunuculara uzaktan erişim şartı, Türk Telekom Veri Merkezini kullanacak müşterilerden istenmemiştir. Şimdi siz içerik sahibi olsaydınız, sunucularınızı Türk Telekom'da olsa bir başka şirketini personelinin uzaktan erişimine açmak ister miydiniz? Yoksa böyle bir şart olmayan TTVM'ye mi götürürdünüz?
  

1 Öncelikle BTK kararında yeni "Veri Merkezi ve Metro Ethernet" tarifesi bir kampanya olarak anılıyor. Yani devamlılığı soru işareti.

2. Bu kampanyanın amacı olarak 3 gerekçe verilmiş:

3. İlk itirazımız "makul bir ücret karşılığı" ve "yatırıma özendirme" tarafında. 2 yıl süreyle ücretsiz verilecek bir servisin işletmecileri nasıl yatırıma özendireceği pek anlaşılmıyor.

4. 2010/DK-07/545 sayılı BTK kararı, Kurumun tarihinde ilk kez bir başka sürpriz ile karşımıza çıkıyor. Kurum sürpriz bir şekilde yapılan kampanyanın kapsam içerisinde kullanıldığı ve kötü niyetli kullanılmadığından emin olmak için kampanyadan yararlanan ISS'lerin teknik ve idari "her türlü" denetimini Türk Telekom'a vermiş durumda. Bu durum da önemli sakıncalar oluşturabilir :

Hosting konusundaki İndirim, rekabete karşı bir uygulama mıdır?

Düşünün ki siz bir içerik üreticisisiniz. Bir web siteniz var. Bu siteyi belirli bir noktaya getirmek için yıllar boyu uğraşıp didiniyorsunuz. Üstelik öyle bir ülkedesiniz ki o ülkenin Internet çıkışlarını taşıyan fiberler sık sık kesintiye uğruyor, kullanıcılar bundan etkilenmesin, içeriğe hızlı erişsin diye ülkenizdeki veri merkezlerini kullanıyorsunuz, komşunuz Bulgaristan dakinin 6-7 katı fiyatlara Internet kapasitesi alıyor, üstelik katma değer vergisi ödüyor, yetmedi kısa bir süre öncesine kadar %15, şimdi ise %5 olan Özel İletişim Vergisinin maliyetine katlanıyorsunuz. Üstelik ülkenizdeki elektrik enerjisi fiyatları batıdakilerin kat kat üzerinde ve hizmet almakta olduğunuz veri merkezleri de bu fiyatlara maruz kalıyorlar.

Bu da yetmedi kullandığınız elektriğin her kuruşunda sevgili ülkenizin devlet televizyonuna özel şirketlerin 10'da 1'i kadro ile yaptıları işi yapsın diye pay ödüyorsunuz.

Bir gün Ulaştırma Bakanınız çıkıyor ve diyor ki: "İçerik çok önemli, biz içeriği destekleyeceğiz. Ben talimat verdim Türk Telekom hosting fiyatlarını %50-60 düşürecek". İçinizden diyorsunuz ki: Vay be bizim bakan amma da güçlü. Özelleştirdiği kuruma bile "fiyatları düşürün" diye posta koyuyor ve de indirtiyor.

Sonra içinize bir kuşku düşüyor: Peki ama bizim bakan, niye bizim hizmet aldığımız Veri Merkezine de aynı talimatı vermiyor. Türk Telekom'un burada özelliği nedir? Yoksa özelleşmedi mi? Yoksa sektör serbestleşmedi mi?

Tabi içerikçi olarak, "bana ne" diyebilirsiniz, "ben neresi ucuzsa oraya giderim". Ama bu hosting konusunda, bugüne kadar fazla müşteri çekemeyen Türk Telekom'un, az sayıda Türkçe içeriği elinde bulunduran ISS'lerin elinden bunu almak ve o konuda da tekel olmak üzere bir yaklaşımı mıdır? diye de düşünenler var. Bu yazı dizisinde "Fatmagül'ün suçu nedir diye sorduran durumlardan birisi" anlayacağınız.

Bunun içerikçiler için anlamı ise, "günün birinde, rekabet kalmayınca fiyatlar yeniden bir yerlere mi fırlar?" sorusudur. "O zaman yurtdışına çıkarsınız" diyenler olabilir ama ciddi içerikçiler için bu göç hayli zor.

Zaten sorunlar bölümündeki belirttiğimiz ilk madde de buna işaret ediyordu. Bu "tarife" yerine "kampanya" adı ile ortaya konan bir süreç. Yani ne zaman artacağı soru işareti.

Bu durumu başka bir dizi ismi ile işaretleyebiliriz : "Öyle bir zaman olur ki"..

Yurtiçi içeriğe karşı - Yurtdışı İçerik

Bu arada yazımızın esas sorun noktası ise, şimdiye kadar açıklanan durumun, sadece yurtdışı içeriğini yurtiçine getirecekler için geçerli olmasıdır.

Yazımızın ilk bölümü yayınlandıktan sonra, Türk Telekom bir açıklama yolladı ve yurtiçi içerik için de başka bir kampanyanın BTK da beklediğini açıkladı. Ama kampanyanın isminde "yurtdışı için" diye bir ifade yerine "Veri Merkezi ve Metro Ethernet" yazınca biz de bunun tek olduğunu düşündük. Bakalım önümüzdeki günlerde devamı neymiş göreceğiz.

Ama şimdiki duruma bakarsak, bu indirimlerin sadece bugüne kadar içeriğini yurtdışında bulunduran, çok iyi niyetliyse sorumlu sıfatıyla KDV ödemiş, ÖİV'nin yanından bile geçmemiş, Internet'i ve elektriği alabildiğine özgürce ve ucuz kullanmış, ülkesinin devlet televizyonuna 5 kuruş katkıda bulunmamış, bir de yanında bonus olarak 5651 sayılı yasanın loguydu, web sitesine künyesini bile yazmaya gerek duymamış (yazanları tenzih ederim), İçerik Sağlayıcı Yetkilendirme belgesini duvarına asmamış olanlara "Sebil" tarifesi. Sana ise eski, kazık tarife. Üstelik Kurum Kararı'ndan bunun en az 2 yıl daha böyle olduğunu anlıyorsun. İnşallah bu düzeltilecektir.

Ama şu anda açıklanan karar bakınca, "E, Fatmagül'ün suçu ne?" diye bir daha sormadan duramıyoruz tabi ki,

Yarın size bu konunun başka bir boyutunu irdeleyeceğim.

Kaynak : http://turk.internet.com/portal/yazigoster.php?yaziid=29780

Kaynak : http://www.bilgiguvenligi.gov.tr/guvenlik-bildirileri-kategorisi/microsoft-iis-bircok-uzanti-icin-guvenlik-atlatma-acikligi.html

Uzaktan kod çalıştırma

Microsoft IIS FTP sunucusunun klasör isimlerini işlemesinde yığın bellek taşması açıklığı bulunmaktadır. Bu açıklığı kullanan saldırganlar açıklığın bulunduğu sunucu üzerinde uzaktan kod çalıştırabilirler.

Henüz yayınlanmış bir güncelleştirme bulunmamaktadır. İlgili açıklığın kullanımasını engellemek için şu önlemler alınabilir:

1. NTFS dosya izinleri FTP kullanıcılarının klasör yaratamayacağı şekilde ayarlanmalıdır.
2. Anonim kullanıcıların FTP dosya yazma hakkı kaldırılmalıdır.

Etkilenen Sistemler

Microsoft Windows 2000 SP4 - Microsoft IIS 5.0
Windows XP SP2 and Windows XP SP3 - Microsoft IIS 5.1
Windows XP Service x64 Edition SP2 - Microsoft IIS 6.0
Windows Server 2003 SP2 - Microsoft IIS 6.0
Windows Server 2003 x64 Edition SP2 - Microsoft IIS 6.0
Windows Server 2003 with SP2 for Itanium-based Systems - Microsoft IIS 6.0

Kaynaklar

• http://www.bilgiguvenligi.gov.tr/
• http://www.microsoft.com/technet/security/advisory/975191.mspx
• http://www.microsoft.com/technet/security/advisory/975191.msp
• https://www.kb.cert.org/vuls/id/276653