Log4Shell: Yazılım Tedarik Zincirine Tehdit Olarak Açık Kaynak
Altı aktif bakımcı, boş zamanlarında ödeme almadan günlük dijital hayatımızın çoğunu koruyan yüzlerce üründe kullanılan bir kod tabanını yönettiğinde ne olur? Bunu, Log4Shell güvenlik açığı ile 2021 Noel’inden hemen önce etkileyici bir şekilde gösterdik. Java günlük kitaplığı Log4j’deki bu güvenlik açığı, kaynak kodu yönetimi veya yazılım yönetimi ile herhangi bir ilgisi olan hemen hemen herkesin, kodlarındaki yazılım bağımlılıklarının ne kadar tehlikeli olabileceğini açıkça ortaya koydu.
2012’den 2018’e kadar Fabian A. Scherschel, Haberler online ve c’t’de editör olarak her gün önce Londra’da İngilizce, ardından Hannover’den Almanca yazdı. 2019’dan beri serbest yazar ve bağımsız podcaster olarak bilgisayar güvenliği, işletim sistemleri, açık kaynaklı yazılımlar ve video oyunları ile uğraşmaktadır.
Log4j projesinden Christian Grobmeier ile Açık Kaynak Güvenlik Vakfı (OpenSSF) başkanı arasındaki çevrimiçi bir diyalogda, Federal Bilgi Güvenliği Ofisi (BSI) Brian Behlendorf, bu güvenlik açığının sonuçları hakkında ne yapabileceğimizi sordu. öğrenmek.
Yazılım tedarik zinciri risk altında
Linux Vakfı’nın himayesindeki bir proje olan OpenSSF’den Behlendorf, Log4Shell’in her şeyden önce “yazılım tedarik zinciri” güvenlik yapısının ne kadar sallantılı olduğunu gösterdiğine dikkat çekti. Behlendorf, çünkü açık kaynak geliştiricilerinin şu anda tam olarak böyle düşünmesi gerektiğini söylüyor. Genellikle basitçe bağımlılıklar veya yazılım bağımlılıkları olarak adlandırılan şeyler, nihai ürün tedarik zincirinin ayrılmaz bir parçasıdır. Geliştiriciler, sırf bunun için zaten bir kitaplık var diye rastgele kodu projelerine gömemezler; bunun yerine bu yazılımın nereden geldiğini, gerçekten gerekli olup olmadığını ve nihayetinde güvenli olup olmadığını düşünmeliler.
Yazılım bağımlılıklarına diğer taraftan bakan Log4j geliştirme ekibinden Grobmeier de burada büyük sorunlar görüyor. Şu anda, günlük Log4j sürüm indirmelerinin %34’ü CVE-2021-44228 güvenlik açığına karşı savunmasızdır. 15 aydan uzun süredir yama uygulanan bir güvenlik açığı. Buna rağmen, Behlendorf’un yazılım tedarik zinciri olarak adlandırdığı Java günlük kitaplığının dağıtılmasıyla ilgili süreçler, Log4j’nin savunmasız sürümlerini hâlâ içeren birçok başka yazılımla sonuçlanır. Modern yazılım geliştirmenin doğası, bu durumda Java, diğer projelerin Log4j’nin savunmasız sürümlerini indirmesini ve bunları kendi kodlarında kullanmasını engellemeyi imkansız hale getirir.
Açık kaynak geliştirme ile ilgili temel sorun
Tedarik zincirindeki bu güvenlik açığı, öncelikle açık kaynaklı yazılımlarla ilgili bir sorundur. Ancak Behlendorf’un da belirttiği gibi, günümüzde bir tür yazılım kullanan hemen hemen her üründe açık kaynaklı yazılım bulunduğundan, sorun bir bütün olarak toplumu etkiler. Behlendorf’a göre ABD hükümeti sorunu en geç Log4Shell’den sonra fark etti. Beyaz Saray, dijital altyapının bu bölümünü daha iyi korumaya çalışıyor. Amerika Birleşik Devletleri’nde insanlar, yazılım şirketlerini güvenlik açıklarından finansal olarak sorumlu tutan yeni yasalar hakkında düşünüyorlar.
Behlendorf, OpenSSF’in özellikle yazılım ürünlerinin son tedarikçilerinin sorumlu tutulmasını sağlamaya kararlı olduğunu vurguluyor. Açık kaynak projelerinde sorumluluğun geliştiricilere kaydırılmasını önlemenin tek yolu budur. Log4j geliştiricisi Grobmeier bu koşulu kesinlikle kabul etti: Boş zamanlarında Log4j üzerinde ücretsiz çalışan bir geliştirici olarak, güvenlik açıklarından yargılanabilmesi için geliştirmeden derhal emekli olması gerekir. Ailesinin geçimine yönelik risk onun için çok büyük.
Çoğu gönüllü açık kaynak geliştiricisi muhtemelen böyle düşünecektir. Ve ürünlerinde kullanılan projeleri topluluğa geri vermek için geliştiricilerine açık kaynak projeleri üzerinde çalışmaları için ödeme yapan şirketler, olası programlama hataları nedeniyle aniden tazminat talepleri ortaya çıkarsa, muhtemelen bu taahhüt hakkında iki kez düşüneceklerdir.
Denetimlerden sonra proje geliştiricilerine de ödeme yapar.
Behlendorf, açık kaynak programcılarına yardım etmenin de aynı derecede önemli olduğunu vurguladı. Bu, Açık Kaynak Güvenlik Vakfı’nın görevlerinden biridir. Halka açık internetin çoğunu çalıştıran yazılım, sıkı güvenlik kontrollerinden geçmelidir. Ancak bu tek başına yeterli değil, diyor Behlendorf. Yalnızca bu kontrolleri yapan güvenlik araştırmacılarına değil, aynı zamanda buldukları açıkları kapatan geliştiricilere de ödeme yapmanız gerekir.
Burada da Log4j ekibinden Grobmeier aynı fikirde: boş zamanlarının önemli bir bölümünü dünyanın yarısı tarafından kullanılan şerefsiz yazılımlar geliştirmek için feda eden hobi geliştiricilerden söz edilebilir, ancak gerçekte “sıkıcı” olduğu için kimse ilgilenmiyor. ve “gerçekten havalı değil” artık güvenlik uzmanı olmayı da bekliyor. Onun gibi insanların işleri ve yazılım geliştirme ile birlikte buna ayıracak zamanları yok.
Grobmeier, büyük Log4Shell paniğinin ardından, birkaç yıl önce Log4j için ölümcül JNDI enjeksiyon saldırılarının tam olarak rapor edildiği Blackhat güvenlik konferansındaki bir sunuma katıldığını söyledi. O ana kadar siyah şapka konferansının ne olduğunu bile bilmiyordu. Bu kara şapka sunumu ile Log4Shell güvenlik açığının keşfi arasında hiç kimse bu bulguları Log4j ekibine bildirmedi. Felaket, yazılım geliştirmede güvenliğin ne kadar önemli olduğunu anlamasını sağladı. BSI tartışması sırasında, diğer açık kaynak geliştiricilerini OpenSSF’inki gibi yardımları açık kollarla kabul etmeye teşvik etmek için elinden geleni yaptı.
Kutunun dışında düşünme
Ne yazık ki, gelecekte Log4Shell gibi güvenlik açıklarının sonuçlarını önlemek veya en azından azaltmak için Almanya’da ne yapıldığı BSI etkinliğinde net değildi. Tüm katılımcılar, neredeyse tüm yazılım ürünlerinin tedarik zincirinin temel bir parçası olarak açık kaynak projelerinin güvenliğinin son derece önemli olduğu konusunda hemfikirdir.
Burada gösterilene benzer çevrimiçi çalıştaylarda BSI, iş dünyası, devlet ve kamu hayatından paydaşları bir araya getirmeye çalışır, ancak Salı akşamı katılanların çoğunun konunun bir bütün olarak şirket için patlayıcı niteliğinden habersiz olduğu anlaşıldı. . Ekonomiden, hükümetten ve hatta basından oybirliğiyle, kamusal yaşamın hemen hemen tüm alanlarında dijitalleşmenin hızlanmasını defalarca ve yüksek sesle destekleyen bir toplum, aslında burada ele alınan iki saatlik bir diyalogda incelenenler gibi güvenlik sorunlarıyla yüzleşmek zorunda kalacaktır. en yüksek önceliğe sahip.
Ağ ve çift dip olmadan hepsi ağda
Nakitsiz ödeme işlemlerini tek alternatif olarak gören, trafik altyapısının büyük bir bölümünü dijital kontrol ünitelerine bağımlı hale getirmek isteyen, kritik altyapıyı koşulsuz olarak birbirine bağlamak isteyen ve ne olursa olsun ekonomiyi buluta taşımak isteyen herkesin aslında düşünmesi gerekir. Bu planların temelinin nasıl güvenli bir şekilde yapılabileceğini ilerletmek. Bununla birlikte, bizim açımızdan ilgili sorular, tartışmada defalarca göz ardı edildi.
Log4j projesinin güvenlik sorunlarının artık kontrol altında olduğunu bilmek güzel. Ayrıca OpenSSF’in benzer projelere yardımcı olmak için hangi planları izlediğini öğrenmek cesaret vericidir.
Ancak görünüşe göre henüz hiç kimse Log4Shell güvenlik açığından dijitalleşmenin bir bütün olarak toplum için sonuçlarını çıkarmadı. BSI himayesi altındaki önemli açık kaynak projelerinin temel geliştiricilerinin katılımıyla gerçekleşen etkinliklerde bu önce güvenlik yaklaşımı zaten yoksa, sivil toplumun geniş kesimlerine verilmesi pek mümkün olmayacaktır.
(efsanevi)
Haberin Sonu