37C3: Yazılımlaştırmada aşırıya kaçmayın: sırların kaybolma riski vardır
Yazılım Tanımlı Her Şey (SDx), günümüz BT dünyasının en moda sözcüklerinden biridir. Örneğin mobil ağ kontrolü, veri işleme ve depolama ile cihaz ağı oluşturma alanlarında birçok klasik donanım nesnesi yazılım işlevlerine dönüştürülür. Örneğin akıllı telefonlardaki uygulamalar büyük ölçüde navigasyon cihazlarının ve MP3 oynatıcıların yerini almıştır. Trend artık siber güvenlikle de bitmiyor. Ancak Kaos Bilgisayar Kulübü’nden (CCC) hackerlar Cumartesi günü Hamburg’daki 37. Kaos İletişim Kongresi’nde (37C3) endüstrinin “yazılımlaştırma” konusunda fazla ileri gitmemesi gerektiği konusunda anlaştılar.
Duyuru
Güvenlik sektöründeki kabuslar
Bu uyarı, konferansın bitiminden kısa bir süre önce, özellikle “Google Authenticator” açısından güvenlik endüstrisindeki en büyük kabusların geleneksel önizlemesi ve analizi sırasında açıkça ifade edildi. ABD’li şirket hâlâ şifre değiştirme geçiş anahtarlarını FIDO standartlarına göre saklayabilen Titan fiziksel güvenlik anahtarları sunuyor. Teknoloji, FIDO2 erişim verilerine ve kriptografik olarak korunan sırlara dayanmaktadır. Çoğu işletim sistemi artık iki faktörlü kimlik doğrulamanın (2FA) bir parçası olarak geçiş anahtarı kimlik doğrulayıcısı olarak işlev görebilir; bu, bu amaç için artık Google Güvenlik Anahtarı gibi ayrı bir FIDO2 çubuğuna ihtiyaç duyulmadığı anlamına gelir.
Hamburg CCC’den Ron Hendrik Fulda, “Önce bir jetondu, sonra bir uygulamaydı” dedi. Sonuçta, Google gibi satıcılar basitçe “sırları buluta kopyalayabilir.” Ancak fikir tartışması ortağı Frank Rieger, akıllı telefonun kaybolması durumunda bu durumlarda yazılım dönüşümünün nereye varabileceğini biliyor. Yani her şey “kullanıcının acısını” hafifletmekle ilgili: “İnsanlar telefonlarının sıfırlanmasını istiyor.” Çünkü üzerinde genellikle “yedeği bulunmayan” kimlik doğrulayıcı bulunur. 2FA ile her zaman bu amaca uygun iki cihazın olması ve ideal olarak bir geçiş anahtarı çubuğunu güvenli bir yerde saklamanız ve PIN kodunuzu unutmamanız önerilir.
Ağ satıcısı Citrix, SDx’i benimsemeye giderek daha fazla mecbur hissediyor. Netscaler ADC ve Gateway’deki CitrixBleed güvenlik açığı (CVE-023-4966), gaspçı grup Medusa’nın bunu diğer şeylerin yanı sıra Toyota Finansal Hizmetlere (TFS) karşı bir fidye yazılımı saldırısı için kötüye kullanmasının ardından yakın zamanda manşetlere çıktı. Spekülasyona göre bu, otomobil üreticisinin ana bankasının Almanya ofisindeki, Ağustos 2023’ten bu yana güncellenmediği söylenen eski bir Citrix Gateway uç noktası tarafından kolaylaştırıldı. Fulda’ya göre güvenlik açığındaki yeni şey şuydu: ” doldurmak için yama yeterli değildi. Ayrıca “makinelerdeki eski oturumları temizlemeniz” ve belirteçleri yeniden yapmanız gerekir.
Frank Rieger (solda), Ron Fulda
(Resim: CC by 4.0 media.ccc.de)
Yöneticiler, özellikle tatil sezonunda, dijital cihazların çeşitliliği nedeniyle ailelerin güvenlik güncellemelerini yüklemekten giderek daha fazla yorulduklarını sıklıkla öğreniyorlar. Pek çok hacker ironisiyle dolu beyin fırtınası oturumu sırasında Fulda, yaklaşmakta olan Patch Coach iş alanını şapkasından çıkardı. Sektörün kullanıcıları motive edecek daha fazla insana ihtiyacı var: “Chakka, bunu kendi bölgende bile yapabilirsin.” Zengin ve çok paranoyak olanlar için günlük ücretin iki katını alabilen bir otobüs de var.
Bir B planı var mı?
Uzmanlar, yazılım yedekleme planlayıcıları için de altın bir gelecek öngörüyor. Rieger, “kimsenin yapının ne kadar sağlam olduğu hakkında hiçbir fikrinin olmadığı yerlerde” giderek daha fazla modül, kitaplık ve eklentinin kullanıldığını söylüyor. Geliştiricinin bir meraklı mı yoksa bir ekip mi olduğu ve finansmanın nasıl çalıştığı genellikle belirsizdir. Çoğu şirketin “yazılım ekosistemlerinin ne kadar kırılgan olduğu” konusunda hiçbir fikri yok. Bu nedenle Sovereign Tech Fund, projelerin güvence altına alınmasında ileri bir adımı temsil ediyor. Fulda, en azından Log4j’de hâlâ sorumlu birinin olduğunu söyledi. “Neredeyse idealdi”. Aksi halde sıklıkla ortaya çıkan tek soru şudur: “Tutacak mıyız?” Yoksa bir B planı var mı?
İkili ayrıca modern dijital lanetler ve diğer BT uç durumları hakkında da spekülasyon yaptı. Yazılım geliştirmede bu “son durumlar”, kullanıcıların nadiren karşılaştığı ancak bazen karşılaştığı hatalar olarak kabul edilir. Örneğin, birden fazla kullanıcı aynı anda aynı kullanıcı adıyla kayıt olmaya çalışıyor veya kullanıcılar alışılmadık ekran boyutlarına, çözünürlüklere veya eski ya da tamamen yeni oturum açma teknolojilerine güveniyor.
Bilgisayar korsanlarına göre, “Zero” soyadı ve artık bir günde veya Unix döneminin başlangıcındaki 1 Ocak 1970’teki (The Epoch) doğum günleri de BT’nin ele alması zor durumlardır. Şirketlerde süreçlerin otomasyonunun artması ve buna bağlı olarak kazaların artması karşısında Rieger, sistematik bir çözüm bulmak için “sınır yasaları” çağrısında bulundu. Bu, örneğin şirketlerin hangi büyüklükteki uç durumlar konusunda endişelenmesi gerektiğini açıklığa kavuşturabilir.
Teknolojik kıyamete karşı uyarı
Yapay zeka alanında ikisinde hâlâ bir “fantezi saldırı LLM’si”, yani birçok amaç için kullanılabilecek ve “kendi kendini başlatan” geniş bir dil modeli bulunmuyor. WormGPT ve FraudGPT iyi başlangıçlardır ancak yine de öncelikle makul ölçüde güvenilir kimlik avı e-postalarının otomatik olarak yazılmasına odaklanmaktadırlar. Öte yandan, on yıl önce profili çıkarılan Truva atı kurulum psikoloğu, ChatGPT & Co.’ya emanet edilen ilk kişi oldu. Ayrıca, örneğin bir restoran rezervasyonu yaparken Yüksek Lisans Eğitimi’nin giderek daha fazla birbirleriyle doğrudan konuşacağı da öngörülebilir. En iyi senaryoda, insan dili yoluyla dolambaçlı yollardan kaçınmak için bilgi uygun bir arayüz aracılığıyla anında değiş tokuş edilecektir.
Teknolojik kıyamete ilişkin uyarılar, en azından Rusya’nın Ukrayna’ya karşı saldırganlık savaşından bu yana siber savaştan bıktı. Her şey uydu operatörü Viasat’a yapılan silici saldırıyla başladı. Şimdi de Ukrayna’nın en büyük mobil operatörünü vurdu. Uzmanlara göre bunun bir sonucu da siber hasara karşı uygun fiyatlı sigortanın artık mevcut olmaması. Bilgisayar korsanları ayrıca, örneğin arabaların belirli alanlarda yolcuların inmesine izin vermemesine veya bankaların olağandışı işlemleri otomatik olarak iptal etmesine neden olan aşırı korumacı algoritmalardan da korkuyor. Eksik olan tek şey, içeri girenlere yukarı çıkmamalarını söyleyen asansör.
(Sen)
Haberin Sonu