Siber Güvenlik şirketi UpGuard, Kanadalı bir robotik şirketinde yaşanan güvenlik zafiyetini gündemine taşıdı. Şirketin zayıf güvenlikli sunucusu, Ford, GM, Tesla ve Toyota gibi otomotiv firmalarının 150 GB’lık özel verilerini açığa çıkarmakla kalmadı, kendi personelinin pasaport ve ehliyet taramaları dahil kişisel bilgilerini de sızdırmış oldu. Sızdırılan belgeler arasında ABD’li popüler otomobil firması Tesla’nın gizlilik sözleşmesi bile bulunuyor.
Sonuçtan oldukça üzgün olan Level One Robotics, dosya transferi için, açık kaynak yazılımı olan rsync’yi kullanıyor. Basitçe anlatmak gerekirse, rsync açık kaynak kodlu bir dosya transfer aracı. Uygulamayı iki sunucu arasında dosya aktarımına olanak sağlayan yedekleme diğer adıyla dosya transfer aracı olarak tanımlamak mümkün. Geleneksel kopyalama araçları dosyaların kopyalamasını A sunucusundan B sunucusuna, ihtiyaç duyulan dosyanın B’de zaten var olmasına aldırış etmeksizin rastgele bir şekilde yaparken büyük bir zaman kaybı ve bant aralığına sebep olmakta.
Rsync’nin çalışma prensibi ise şu şekilde:
Transfer aracı, A’dan B’ye hangi yeni dosyaların kopyalanması gerektiğini bilir.
B’deki hangi dosyalara artık ihtiyaç duyulmadığını ve hangilerinin silinmesi gerektiğini bilir.
Yalnızca değişmiş kısımları modifiye ederek, A’daki dosyalarla eşleştirmek için B’deki dosyaların nasıl güncelleneceğini bilir.
Mesela sonuna yeni paragraflar eklenmiş bir metin dosyasında rsync sadece yeni satırları kopyalar. Böylece bağlantının diğer ucunda zaten varolan yığınların kopyalanmasından kaçınılmış olur.
Ancak handikaplar da bulunmakta. Rsync oldukça güçlü bir uygulama ve yanlışlıkla ya da kasten yıkıcı bir hatalı ayarlamaya oldukça yatkın. Bu yüzden rsync sunucularına kimin bağlanma izni olup olmadığı konusu, hayati bir öneme sahip. Mesela karşıdaki bilgisayarın yedeğini izinsiz kullanmak istersek tek yapmamız gereken şey, boş bir dizin ile başlayıp karşı tarafın sunucusuna ‘lütfen beni senkronize et’ demek. Rsync istekte bulunan bizin her bir dosyanın kopyasına ihtiyacımız olduğunu düşünecek ve senkronize talebinde bulunan bizler istediğimizi elde etmiş olacağız.
Maalesef, Level One Robotics verilerinin kimin eline geçebileceğini kontrol etme konusunda yeterince uyanık davranamamış. Şirketin 150 GB’dan fazla kişisel ve özel verinin girişinin yapıldığı rsync sunucusunun, şirketin kendi bilgisayar ağında bulunan ve dikkatlice seçilmiş sunucular tarafından erişilebilir olması gerektiği belirtiliyor. Aksine rsync sunucusuna doğrudan internetten erişilebilir durumda olduğu biliniyor. Buradaki iyi haber ise UpGuard’ın olası bir yıkıcı hatalı ayarlamaya Level One’a rapor etmiş olması ve haberin kamuya yansımadan problemi hızlı bir şekilde çözmüş olması.
Rsync örneklerinin IP adresi tarafından kısıtlanması gerektiğini belirten UpGuard, böylece yalnızca atanmış istemcilerin bağlanabileceğini ve istemcilerin veri kümesini almadan önce kimlik doğrulaması yapması için kullanıcı erişiminin ayarlanması gerektiğini ifade ediyor. Şirkete göre bu önlemler olmadan, rsync herkese açık.
Siber Bülten abone listesine kaydolmak için formu doldurunuz