2018 siber güvenlik açısından hareketli başladı. Dünyanın farklı yerlerinden güvenlik araştırmacıları, 90’lı yılların ortalarında üretilen bilgisayar çiplerinde bulunan kritik güvenlik açıklıklarını üretici şirkete bildirdi. Meltdown ve Spectre adı verilen güvenlik zafiyetleri istismar edildiğinde bilgisayarlarımızda güvenli şekilde saklandığını düşündüğümüz kripto anahtarlarına, parolalara ve kişisel dosyalara izinsiz erişim sağlanabiliyor.
Meltdown zafiyeti kullanıcı uygulamaları ve işletim sistemi arasına girip zararlı bir uygulamanın, belleğe ulaşmasına ve hafızada işlenen hassas veriye erişim imkanına sahip olmasına yol açıyor. Araştırmacılar bu zafiyeti barındıran, yamalanmamış bir sistemden veri sızdırılmaması gibi bir olasılığın bulunmadığını belirtiyor. Durumu daha vahim hale getiren ise, bu açıklığın cebimizdeki telefonlardan, bulut bilişim sistemlerine kadar birçok sistemi etkiliyor olması.
Daha çok uygulama katmanında çalışan Spectre ise, farklı uygulamalar arasındaki kapalı yapının kırılarak uygulamalardan veri sızdırmanın önünü açıyor. Meltdown zafiyeti yama işlemi ile önlenebilirken, Spectre zafiyeti işlemci mimarisindeki hatalardan kaynaklandığından giderilmesi için donanımsal değişiklikler gerekebiliyor.
Dünyayı sarsan gelişmeyi Siber Bülten’e değerlendiren Lostar güvenlik uzmanı Caner Filibelioğlu böylesine kritik iki zafiyetin bu zamana kadar bulunamamasına işaret ederek, siber güvenliğin gelişmesini bilimsel ilerlemeye benzetti. “Aslında bilgi güvenliği dünyası da bilim dünyası gibi birikerek ve bu birikimlerden ders alarak, gelişerek ilerlemekte. Dolayısıyla tıpkı bilim dünyası gibi siber güvenlik dünyasına da yön veren, trendi belirleyen topluluklar var. Benzer tesadüfler eminim olmuştur; olacaktır da. Bu kullanım sıklığı ile doğru orantılı bir durum. Ne kadar sık kullanılırsa o kadar hedef olur sistemler.”
Filibelioğlu’nun benzetmesini doğrulayan örnekleri bilim tarihinde bulmak mümkün. Örneğin 17 yüzyılın sonunda Değişkenler Hesabını (Calculus) birbirine yakın zamanlarda bulan Newton ve Leibniz gibi, 1920’lerde birbirinden habersiz 5 mühendisin televizyona benzer gereçler icat etmeleri de bu duruma verilen örnekler arasında sıralanabilir.
Meltdown ve Spectre örneklerinde de, dünyanın farklı yerlerinde birbirinden bağımsız güvenlik araştırmacıları Intel’e çiplerdeki açıklıkları birbiri ardına haber verdiler. Graz Üniversite’sinden çalışan Daniel Grüss, Moritz Lipp ve Michael Schwarz şirkete buldukları açıklığı bildirdiklerinde kendilerinin ilk olmadığını öğreniyorlar.
Açıklığı ilk bulan kişi şu anda Google’da güvenlik araştırmacısı olarak çalışan Jann Horn. 22 yaşındaki gencin, 2013 yılında Alman hükümetinin açtığı yarışmada kazandığı başarıdan dolayı Şansölye Merkel tarafından ödüllendirildiğini de not etmekte fayda var.
20 yaşında zafiyet olur mu?
Meltdown ve Spectre’nin 20 yıldan uzun bir süre boyunca ortaya çıkartılmaması sorumlu ifşa (responsible disclosure) tartışmalarını da beraberinde getirdi. Bu derecede kritik zafiyetlerin daha önceden keşfedildiğini fakat kamuoyu ile paylaşılmadığını düşünen uzmanların sayısı az değil. Caner Filibelioğlu da konuyla ilgili olarak bazı devletlerin istihbarat ajanslarının ismi geçen zafiyetleri önceden bulup istismar ettiğine inananlardan.
Zafiyetlerden korunmak için neler yapılmalı?
Zafiyetleri dijital hayatın vazgeçilmez bir unsuru olarak değerlendiren Caner Filibelioğlu, “Nasıl depremle yaşamaya alışmalıyız diyorsak, siber dünyada da zafiyetle yaşamaya alışmalıyız. Yüzde yüz güvenlik yoktur noktasından hareket edersek, atmamız gereken ilk adım mümkün olduğu kadar bu zafiyetlere karşı önlem almak olmalıdır.” ifadelerini kullandı.
Meltdown ve Spectre için alınacak tedbirleri sıralayan Filibelioğlu “ İnternet tarayıcılar için belli parametre ayarları var bunlar yapılmalı ve yamalar takip edilmelidir. Çıkan yamalar zaman kaybetmeksizin yüklenmeli ve bir sonraki zafiyet beklenmelidir.” dedi.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
