2016 yılının başlarında ABD Federal Araştırma Bürosu, Apple’ın desteği olmadan iPhone kilidini kıran bir yazılım hatasına 3.1 milyon dolardan fazla ödeme yaptı. Önceden bilinmeyen ‘açıkların’ kapatılmasına olanak veren ve bu nedenle ‘sıfırıncı gün’ (zero day) olarak adlandırılan pazarın büyüklüğü konusunda ise tahminler değişkenlik gösteriyor.
Bilgisayar korsanları ya da güvenlik araştırmacıları ‘yazılım hatası’ bulduklarında, yazılım veya ardışık komutlar icat ederek bunlardan farklı şekillerde yararlayor: herkese ilan eder, hata ödenek programı yoluyla yazılım tedarikçilerine satar ya da devlet-suç örgütleri gibi üçüncü partilere satıyor. Devletler sıfırıncı günü elde ettiklerindeyse ya halka açıklıyor, ya da gizli tutarak bunları istihbarat toplama veya karşı operasyonlar için stok yapıyor.
ABD hükümetinin pazardaki rolü içinse farklı görüşler hakim: uzmanların bir kısmı tüm sıfırıncı günlerin satın alınıp açıklanmasını savunurken; diğer kısmı da yasadışı aktörlerin azalması için pazarın şekillendirilmesi gerektiğini söylüyor. Ancak bu iki girişimin başarısız olacağı bir yana, meşru araştırmaları engelleyerek güvenliğin altını oyacağı aşikar. Hükümetin, bunların yerine açıkların bulunması için teşvikler sunup saldırı riskini en aza indirmesi gerekiyor.
İLGİLİ HABER >> FBI – APPLE SAVAŞINDAKİ SÜRPRİZ “KİLİT KIRICI” BELLİ OLDU
Arka plan
Genellikle güvenlik araştırmacıları saptanan açıkları parasal ödüller için değil, yazılımı daha güvenli hale getirmek için rapor ediyor ancak açıklıklara gelen talepler arttıkça açık araştırması daha büyük bir ekip, daha büyük bir ekipse daha fazla finansman kaynağı gerektirir hale geliyor.
Sistemlerdeki açıklık pazarları ise ilk alıcılara ve sıfırıncı günlerin kullanış amaçlarına göre değişkenlik gösteriyor: Beyaz pazarda açıklık tedarikçiye hemen verilir veya satılırken, gri pazarda bir gecikmeyle ya da farklı aktörlerce kullanıldıktan sonra tedarikçiye geri dönüyor. Siyah pazarda ise asla geri dönüş olmuyor. Beyaz pazar hata ödenek programlarıyla kolayca bulunabilirken, gri pazar daha kapalı ve kişisel ilişkilere bağlı. Siyah pazarda ise alıcı ve satıcıları yasal olarak tanımlamak biraz zor.
Zorluklar
Her ne kadar ABD ulusal güvenlik çevresi sıfırıncı günlerin önemine vurgu yapsa da, Ulusal Güvenlik Teşkilatı(NSA) açıkları önemsiz görüp bunun yerine saldırganların odak ve mücadelesine bakmayı tercih ediyor.
Sıfırıncı günü tanımlamanın zor olması, pazarı düzenlemeyi de olanaksız hale getiriyor. Karar alıcıların alınıp satılabilen ürün olarak gördükleri açıklar, işin içindeki kişilere göre açıklık-yararlanabilme ve teknikleri gibi çoklu bölümlerden oluşuyor. Pazardaki şeffaflık eksikliği de bu açıkları bulan kişi tarafından mı önce bulunduğu ve diğerlerinin haberinin olup olmadığını bilmeyi imkansız hale getiriyor.
Ek olarak, yazılım sayısız açık içerse bile bu tedarikçilerin ödeme yapmayı devam ettirecekleri anlamına gelmiyor. Kısacası, teşvik amaçlı büyük ödenekler, tehditleri azaltmada çok da yer etmiyor.
Bir diğer zorluk ise pazarın yerel düzenleyici teşebbüslere izin vermeyen küresel yapısı. Pek çok ülkede ‘laissez-faire’ uygulaması hakim: örneğin İtalyan bir şirket olan ‘Hacking Team’ açıklardan yararlanmayı sağlayan bir cihaz geliştirip kırktan fazla ülkede satış yapabiliyor.
Tavsiyeler
Öncelikle sıfırıncı günlerin alınıp satıldığı bir pazarı düzenlemek eninde sonunda başarısız olacağı için bunun yerine açıkların bunulup ifşa edilmesi teşvik edilmesi gerekiyor. Eskiden, yazılım tedarikçileri buldukları açıkları ilan eden araştırmacıları telif hakları kanunuyla tehdit ederken, şimdi bunun için kısmen de olsa bir istisna yapıldı. Ancak bu sürecin düzenlenmesi ve alandaki diğer sektörlere de yayılması gerekiyor.
Savunma İleri Araştırma Projeleri Birimi (DARPA), açık bulmaya değil hata önlemeye dayalı güvenli yazılım gelişimi üzerine araştırmalar yapıyor. Hükümet ve şirketler açıkları tanımlamak için yatırım yaparken, DARPA da teknik ve ürünlerinin daha kullanışlı ve dağıtılabilir yapmaya çalışması önemli noktalardan biri.
Geçtiğimiz Nisan ayında Savunma Bakanlığı ‘Hack the Pentagon’ adında bakanlık sistemindeki açıklar için hata ödenek programı başlatmış ve sonuç olarak 250 bilgisayar korsanının katıldığı programda bir aydan kısa zaman içinde 138 açık bulunmuştu. Bu program tüm devlet sistemlerinde uygulanabilir olmalı.
Sonuç olarak, en etkili yöntemin bile açıkları önlemesi mümkün olamayacağından sıfırıncı gün pazarı devam edecek. Karar alıcıların yapması gerekense öncelikle bunları tanıyıp teknik çevrenin destekleyeceği bir alternatif metot belirlemek.
HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ
[wysija_form id=”2″]