Dünyanın başlıca bilgisayar çipi üreticilerinden Intel araştırmacıları, şirketin geliştirdiği çiplerde geçen yıl ortaya çıkan güvenlik zafiyetiyle bağlantılı ve onarılması güç bir açıklık bulduklarını duyurdu.
Yeni güvenlik açıklarına “Microarchitectural Data Sampling” (MDS) adını veren şirket, açıklığı istismar eden hackerların çip üzerinden geçen tüm veriyi ‘neredeyse’ okuyabildiğini açıkladı. Açıklamada bu zafiyeti istismar etmenin oldukça zor olduğunu ve lab ortamı dışında kullanıldığına şahit olunmadığı ifade edildi.
Bu sene içerisinde üretilen çipler güvenlik açığı kapatıldıktan sonra piyasaya çıkarken, daha önce satın alınanlara yama yapılması gerekiyor. Yamanın çiplerde yüzde 19’a varan performans yavaşlığına sebep olacağı da bildirildi.
Meltdown and Spectre ortalığı sarsmıştı
Geçtiğimiz yıl Intel çiplerinde 20 yıldır bulunan çok kritik bir güvenlik açığı bulunmuştu. Dünyanın farklı yerlerindeki güvenlik araştırmacılar 90’lı yılların ortalarında üretilen bilgisayar çiplerinde bulunan kritik güvenlik açıklıklarını üretici şirkete bildirdi.
Meltdown ve Spectre adı verilen güvenlik zafiyetleri istismar edildiğinde bilgisayarlarımızda güvenli şekilde saklandığını düşündüğümüz kripto anahtarlarına, parolalara ve kişisel dosyalara izinsiz erişim sağlanabiliyor.
Açıklığı ilk bulan kişi şu anda Google’da güvenlik araştırmacısı olarak çalışan 23 yaşındaki Jann Horn 2013 yılında Alman hükümetinin açtığı yarışmada kazandığı başarıdan dolayı Şansölye Merkel tarafından ödüllendirilmişti.
Güvenlik araştırmacıları Meltdown ve Spectre gibi güvenlik açıklıklarının benzerlerinin ortaya çıkabileceği konusunda geçtiğimiz yıldan bu yana uyarılarını yeniliyordu.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
2018 siber güvenlik açısından hareketli başladı. Dünyanın farklı yerlerinden güvenlik araştırmacıları, 90’lı yılların ortalarında üretilen bilgisayar çiplerinde bulunan kritik güvenlik açıklıklarını üretici şirkete bildirdi. Meltdown ve Spectre adı verilen güvenlik zafiyetleri istismar edildiğinde bilgisayarlarımızda güvenli şekilde saklandığını düşündüğümüz kripto anahtarlarına, parolalara ve kişisel dosyalara izinsiz erişim sağlanabiliyor.
Meltdown zafiyeti kullanıcı uygulamaları ve işletim sistemi arasına girip zararlı bir uygulamanın, belleğe ulaşmasına ve hafızada işlenen hassas veriye erişim imkanına sahip olmasına yol açıyor. Araştırmacılar bu zafiyeti barındıran, yamalanmamış bir sistemden veri sızdırılmaması gibi bir olasılığın bulunmadığını belirtiyor. Durumu daha vahim hale getiren ise, bu açıklığın cebimizdeki telefonlardan, bulut bilişim sistemlerine kadar birçok sistemi etkiliyor olması.
Daha çok uygulama katmanında çalışan Spectre ise, farklı uygulamalar arasındaki kapalı yapının kırılarak uygulamalardan veri sızdırmanın önünü açıyor. Meltdown zafiyeti yama işlemi ile önlenebilirken, Spectre zafiyeti işlemci mimarisindeki hatalardan kaynaklandığından giderilmesi için donanımsal değişiklikler gerekebiliyor.
Dünyayı sarsan gelişmeyi Siber Bülten’e değerlendiren Lostar güvenlik uzmanı Caner Filibelioğlu böylesine kritik iki zafiyetin bu zamana kadar bulunamamasına işaret ederek, siber güvenliğin gelişmesini bilimsel ilerlemeye benzetti. “Aslında bilgi güvenliği dünyası da bilim dünyası gibi birikerek ve bu birikimlerden ders alarak, gelişerek ilerlemekte. Dolayısıyla tıpkı bilim dünyası gibi siber güvenlik dünyasına da yön veren, trendi belirleyen topluluklar var. Benzer tesadüfler eminim olmuştur; olacaktır da. Bu kullanım sıklığı ile doğru orantılı bir durum. Ne kadar sık kullanılırsa o kadar hedef olur sistemler.”
Filibelioğlu’nun benzetmesini doğrulayan örnekleri bilim tarihinde bulmak mümkün. Örneğin 17 yüzyılın sonunda Değişkenler Hesabını (Calculus) birbirine yakın zamanlarda bulan Newton ve Leibniz gibi, 1920’lerde birbirinden habersiz 5 mühendisin televizyona benzer gereçler icat etmeleri de bu duruma verilen örnekler arasında sıralanabilir.
Meltdown ve Spectre örneklerinde de, dünyanın farklı yerlerinde birbirinden bağımsız güvenlik araştırmacıları Intel’e çiplerdeki açıklıkları birbiri ardına haber verdiler. Graz Üniversite’sinden çalışan Daniel Grüss, Moritz Lipp ve Michael Schwarz şirkete buldukları açıklığı bildirdiklerinde kendilerinin ilk olmadığını öğreniyorlar.
Açıklığı ilk bulan kişi şu anda Google’da güvenlik araştırmacısı olarak çalışan Jann Horn. 22 yaşındaki gencin, 2013 yılında Alman hükümetinin açtığı yarışmada kazandığı başarıdan dolayı Şansölye Merkel tarafından ödüllendirildiğini de not etmekte fayda var.
20 yaşında zafiyet olur mu?
Meltdown ve Spectre’nin 20 yıldan uzun bir süre boyunca ortaya çıkartılmaması sorumlu ifşa (responsible disclosure) tartışmalarını da beraberinde getirdi. Bu derecede kritik zafiyetlerin daha önceden keşfedildiğini fakat kamuoyu ile paylaşılmadığını düşünen uzmanların sayısı az değil. Caner Filibelioğlu da konuyla ilgili olarak bazı devletlerin istihbarat ajanslarının ismi geçen zafiyetleri önceden bulup istismar ettiğine inananlardan.
Zafiyetlerden korunmak için neler yapılmalı?
Zafiyetleri dijital hayatın vazgeçilmez bir unsuru olarak değerlendiren Caner Filibelioğlu, “Nasıl depremle yaşamaya alışmalıyız diyorsak, siber dünyada da zafiyetle yaşamaya alışmalıyız. Yüzde yüz güvenlik yoktur noktasından hareket edersek, atmamız gereken ilk adım mümkün olduğu kadar bu zafiyetlere karşı önlem almak olmalıdır.” ifadelerini kullandı.
Meltdown ve Spectre için alınacak tedbirleri sıralayan Filibelioğlu “ İnternet tarayıcılar için belli parametre ayarları var bunlar yapılmalı ve yamalar takip edilmelidir. Çıkan yamalar zaman kaybetmeksizin yüklenmeli ve bir sonraki zafiyet beklenmelidir.” dedi.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Dünyadaki bilgisayarların tamamı ve cep telefonu gibi diğer elektronik cihazların önemli bir kısmında, hackerların bu cihazlardaki bilgileri çalmasını sağlayabilecek güvenlik açıkları bulundu.
Araştırmacılar işlemcilerdeki güvenlik açığı nedeniyle işlenen bilgilerin güvenliğinin tehlikede olduğunu ortaya koydu. Henüz bu yöntemle çalınan bir bilgi olmadığı açıklandı.
1. Güvenlik açıklarında ne var?
İki ayrı güvenlik açığı bulundu. Bunlardan birine “Meltdown”, diğerine “Spectre” ismi verildi. Meltdown Intel çipleriyle çalışan laptop, masaüstü ve sunucu bilgisayarları etkiliyor.
Spectre ise daha geniş bir yelpazeyi etkiliyor. Intel’in yanı sıra ARM ve AMD’nin ürettiği işlemcileri kullanan akıllı telefonlar, tabletler ve bilgisayarlar da bundan etkileniyor.
Teknoloji danışmanlığı şirketi IDC’den kıdemli analist Bryan Ma, veri merkezleri ve buluta bağlanan cihazların da bundan etkilenebileceğini söylüyor.
2. Sorun ne kadar büyük?
Öncelikle, panik yapmaya gerek yok. İngiltere Ulusal Siber Güvenlik Merkezi, bu açığı kullanarak bir saldırı olduğuna dair bulguları olmadığını söyledi. Fakat bu açık kamuoyuyla paylaşıldıktan sonra bunun suiistimal edilebileceği endişesi bulunuyor.
BBC’nin edindiği bilgilere göre teknoloji endüstrisi en az 6 aydır bu sorunun farkındaydı. Geliştiricilerden güvenlik uzmanlarına kadar işe dahil olan herkes gizlilik anlaşması imzalamıştı. Plan, sorun çözülene kadar güvenlik açığının varlığını gizli tutmaktı.
Dünyada 1,5 milyardan bilgisayar bulunuyor ve IDC hesaplamalarına göre bunların yüzde 90’ı Intel işlemcilerle çalışıyor. Bu da güvenlik açığının devasa boyutlarda bilgisayarı etkilediğini gösteriyor.
3. Hangi bilgiler tehlikede?
Bu güvenlik açıkları hackerların bilgisayarların hafızalarında bulunan bilgileri okumasını, şifre ve kredi kartı verileri gibi verileri çalmasını sağlayabilir. ABI Research’ten teknoloji analisti Jake Saunders hangi bilgilerin risk altında olduğunun muğlak olduğunu söylerken bu bilginin kamuyla paylaşılmasının ardından esas sorunun bunu kullanabilecek hackerlar olduğunu belirtiyor.
4. Bilgisayarımı nasıl koruyabilirim?
Donanım ve işletim sistemi üreticileri bu açığı kapatmak için yamalar veya güncellemeler yayınlıyor. Bunlar yayınlandığında indirmek cihazlarınızı koruyacaktır. Üç büyük işletim sistemi üreticisi Microsoft, Apple ve Linux işletim sistemlerine güncelleme yayınlama sürecinde.
Meltdown açığı
Apple macOS’un eski sürümleri için ne zaman güncelleme yayınlayacağını açıklamasa da son versiyon olan 10.13.2’nin güvenli olduğunu açıkladı. Microsoft ise 4 Ocak’ta yayınladığı güncellemeyle Windows 10’daki açığı “yamadı”. Önümüzdeki günlerde Windows 7 ve 8 için de güncelleme yayımlayacağını duyurdu.
Google, Android işletim sisteminin son versiyonunun ve Gmail’ın güvenli olduğunu açıkladı. Chromebook kullanıcılarının ise gelecekte yayınlanacak bir güncellemeyi yüklemesi gerekecek. Google, Chrome tarayıcısı için güncelleme tarihini ise 23 Ocak olarak duyurdu.
iPhone ve iPad’lerin bu açıktan etkilenip etkilenmediği ise henüz bilinmiyor.
Amazon Web Services ve Google Cloud gibi bulut sistemleri ise sitemlerinin çoğunu güncellediklerini, kalanını da kısa süre içinde güncelleyeceklerini duyurdu.
Spectre açığı
Öte yandan Spectre güvenlik açığını yamamanın çok daha zor olduğu tahmin ediliyor. Bu açıktan etkilenen cihazlar için henüz bir güncelleme açıklanamadı.
5. Güncellemeler bilgisayarımı yavaşlatacak mı?
Bazı araştırmacılar güncellemelerin bilgisayarları yüzde 30’a varan oranda yavaşlatacağını öne sürüyor. Fakat Intel, bunun abartılı bir iddia olduğunu, cihazların performanslarının nasıl etkileneceğinin kullanım şekline göre değişmekle birlikte çoğu kullanıcının performansta bir fark hissetmeyeceğini açıkladı.
6. Endüstri nasıl yanıt verecek?
Uzmanlara göre Meltdown ve Spectre açıkları, bilgisayar çiplerinin tasarımıyla ilgili temel bir sorundan kaynaklandığı için bu teknolojilerin önümüzdeki yıllarda üretim teknikleri üzerine ciddi şekilde değişiklik yapılması gerekecek.
Bilgisayar güvenliği araştırmacısı Rob Graham, “Bu çok büyük bir olay” diyor ve ekliyor: “İşletim sistemleri ve işlemcileri baştan tasarlamamız gerekecek.”
Kaynak: BBC Türkçe
Siber Bülten abone listesine kaydolmak için doldurunuz
