Kaynak Metin: https://tinyurl.com/4kf3zte9
 |
| Açık kaynak kodu gezegendeki her bilgisayarda çalışıyor ve Amerika'nın kritik altyapısını ayakta tutuyor. DARPA bu koda ne kadar güvenilebileceği konusunda endişeli. |
Çoğu insan adını hiç duymamış olsa da, tüm dünyanın Linux çekirdeği üzerine kurulu olduğunu söylemek abartı olmaz.
Çoğu bilgisayar açıldığında yüklenen ilk programlardan biridir. Makineyi çalıştıran donanımın yazılımla etkileşime girmesini sağlar, kaynak kullanımını yönetir ve işletim sisteminin temeli olarak hareket eder.
Neredeyse tüm bulut bilişimin, neredeyse her süper bilgisayarın, tüm nesnelerin internetinin, milyarlarca akıllı telefonun ve daha fazlasının temel yapı taşıdır.
Ancak çekirdek aynı zamanda açık kaynak kodludur, yani herkes kodunu yazabilir, okuyabilir ve kullanabilir. Bu da ABD ordusu içindeki siber güvenlik uzmanlarını ciddi şekilde endişelendiriyor. Açık kaynaklı olması, Linux çekirdeğinin -diğer birçok kritik açık kaynaklı yazılım parçasıyla birlikte- henüz tam olarak anlayamadığımız şekillerde düşmanca manipülasyonlara açık olduğu anlamına geliyor.
Siber güvenlik araştırmacısı ve eski NSA bilgisayar güvenliği bilimcisi Dave Aitel, "İnsanlar artık şunu fark ediyor: Bir dakika, yaptığımız her şeyin temelinde Linux var," diyor. "Bu, toplumumuz için temel bir teknoloji. Çekirdek güvenliğini anlamamak kritik altyapının güvenliğini sağlayamayacağımız anlamına gelir."
Şimdi ABD ordusunun araştırma kolu olan DARPA, karşılaştıkları riskleri daha iyi anlamak için bu açık kaynaklı projelerin çalışmasını sağlayan kod ve topluluğun çarpışmasını anlamak istiyor. Amaç, kötü niyetli aktörleri etkili bir şekilde tanıyabilmek ve çok geç olmadan onların hayati önem taşıyan açık kaynak kodunu bozmalarını ya da yozlaştırmalarını engelleyebilmek.
DARPA'nın "SocialCyber" programı, bu devasa açık kaynak topluluklarını ve oluşturdukları kodu haritalamak, anlamak ve korumak için sosyolojiyi yapay zekadaki son teknolojik gelişmelerle birleştirecek 18 ay sürecek, milyonlarca dolarlık bir projedir. Önceki araştırmaların çoğundan farklı çünkü hem kodun hem de açık kaynaklı yazılımın sosyal boyutlarının otomatik analizini birleştiriyor.
Projenin arkasındaki DARPA program yöneticisi Sergey Bratus, "Açık kaynak ekosistemi insanlık tarihinin en büyük girişimlerinden biri" diyor.
"Artık meraklılardan küresel altyapının, internetin, kritik endüstrilerin ve hemen hemen her yerdeki kritik görev sistemlerinin temelini oluşturan küresel bir çabaya dönüştü" diyor. "Endüstrimizi çalıştıran sistemler, elektrik şebekeleri, gemicilik, ulaşım."
Açık kaynağa yönelik tehditler
Modern uygarlığın büyük bir kısmı, para tasarrufu sağladığı, yetenekleri cezbettiği ve pek çok işi kolaylaştırdığı için sürekli genişleyen açık kaynak kod külliyatına bağımlı hale geldi.
Ancak Aitel gibi uzmanlara göre açık kaynak hareketi hepimizin bağımlı olduğu devasa bir ekosistem yaratmış olsa da bunu tam olarak anlamış değiliz. Sayısız yazılım projesi, milyonlarca satır kod, çok sayıda posta listesi ve forum ve kimlikleri ve motivasyonları genellikle belirsiz olan ve onları sorumlu tutmayı zorlaştıran bir katkıda bulunanlar okyanusu var.
Bu tehlikeli olabilir. Örneğin, bilgisayar korsanları son yıllarda birçok kez açık kaynaklı projelere sessizce kötü amaçlı kodlar yerleştirmiştir. Arka kapılar uzun süre tespit edilemeyebilir ve en kötü durumda, tüm projeler, insanların açık kaynaklı topluluklara ve koda duyduğu güvenden yararlanan kötü aktörlere teslim edilmiştir. Bazen bu projelerin dayandığı sosyal ağlarda kesintiler ve hatta ele geçirmeler bile olabiliyor. Tüm bunları takip etmek, tamamen olmasa da çoğunlukla insan gücüne dayalı bir çabadır, bu da sorunun astronomik boyutuyla eşleşmediği anlamına gelir.
Bratus, genişleyen kod evrenini sindirmek ve anlamak için makine öğrenimine -yani otomatik güvenlik açığı keşfi gibi faydalı hilelere- ve bu kodu yazan, düzelten, uygulayan ve etkileyen insan topluluğunu anlamak için araçlara ihtiyacımız olduğunu savunuyor.
Nihai hedef, kusurlu kod göndermek, etki operasyonları başlatmak, geliştirmeyi sabote etmek ve hatta açık kaynaklı projelerin kontrolünü ele geçirmek için yapılan kötü niyetli kampanyaları tespit etmek ve bunlara karşı koymaktır.
Bunu yapmak için araştırmacılar, Linux çekirdeği posta listesi gibi açık kaynak topluluklarındaki sosyal etkileşimleri analiz etmek için duygu analizi gibi araçlar kullanacak ve bu da kimin olumlu veya yapıcı, kimin olumsuz ve yıkıcı olduğunu belirlemeye yardımcı olacaktır.
Araştırmacılar, ne tür olay ve davranışların açık kaynak topluluklarını bozabileceği ya da zarar verebileceği, hangi üyelerin güvenilir olduğu ve ekstra dikkat gerektiren belirli grupların olup olmadığı konusunda fikir edinmek istiyor. Bu cevaplar mutlaka özneldir. Ancak şu anda bunları bulmanın çok az yolu var.
Uzmanlar, açık kaynaklı yazılımları yöneten kişilerle ilgili kör noktaların tüm yapıyı potansiyel manipülasyon ve saldırılar için olgunlaştırmasından endişe ediyor. Bratus'a göre birincil tehdit, Amerika'nın kritik altyapısını çalıştıran "güvenilmez kod" olasılığıdır - bu durum istenmeyen sürprizlere davetiye çıkarabilir.
Cevaplanmamış sorular
SocialCyber programı şu şekilde işliyor. DARPA, derin teknik becerilere sahip küçük, butik siber güvenlik araştırma atölyeleri de dahil olmak üzere "icracılar" olarak adlandırdığı çok sayıda ekiple sözleşme imzaladı.
Bunlardan biri de bu görev için saygın araştırmacılardan oluşan bir ekip kuran New York merkezli Margin Research.
Firmanın kurucusu Sophia d'Antoine, "Açık kaynak topluluklarına ve projelerine daha yüksek düzeyde özen ve saygı gösterilmesi için umutsuz bir ihtiyaç var" dedi. "Mevcut altyapıların çoğu çok kırılgan çünkü her zaman orada olacağını varsaydığımız açık kaynağa dayanıyor çünkü her zaman oradaydı. Bu, açık kaynaklı kod tabanlarına ve yazılımlara duyduğumuz örtülü güvenden geri adım atmaktır."
Margin Research'ün Linux çekirdeğine odaklanmasının bir nedeni de bu çekirdeğin o kadar büyük ve kritik olması ki, burada başarılı olmak, bu ölçekte, başka her yerde başarılı olabileceğiniz anlamına geliyor. Plan, tüm ekosistemi görselleştirmek ve nihayetinde anlamak için hem kodu hem de topluluğu analiz etmek.
Margin'in çalışması, açık kaynak projelerinin hangi belirli bölümleri üzerinde kimin çalıştığını ortaya koyuyor. Örneğin, Huawei şu anda Linux çekirdeğine en büyük katkıyı yapan şirket. Aitel, bir başka katılımcının da Huawei gibi ABD hükümeti tarafından yaptırım uygulanan bir Rus siber güvenlik firması olan Positive Technologies için çalıştığını söylüyor. Margin, birçoğu farklı açık kaynak projelerine katılan NSA çalışanları tarafından yazılan kodların da haritasını çıkardı.
"Bu konu beni ürkütüyor," diyor d'Antoine açık kaynak hareketini daha iyi anlama arayışıyla ilgili olarak, "çünkü dürüst olmak gerekirse, en basit şeyler bile pek çok önemli insana çok yeni geliyor. Hükümet, kritik altyapımızın, kelimenin tam anlamıyla yaptırım uygulanan kuruluşlar tarafından yazılmış olabilecek kodlar çalıştırdığının yeni yeni farkına varıyor. Hem de şu anda."
Bu tür araştırmalar aynı zamanda yetersiz yatırımı, yani tamamen bir ya da iki gönüllü tarafından çalıştırılan kritik yazılımları bulmayı amaçlıyor. Bu durum düşündüğünüzden daha yaygın - o kadar yaygın ki yazılım projelerinin şu anda riski ölçmek için kullandığı yaygın yöntemlerden biri "otobüs faktörü": Sadece bir kişiye otobüs çarparsa tüm proje dağılır mı?
Linux çekirdeğinin dünya bilgisayar sistemleri için önemi SocialCyber için en acil konu olsa da, diğer açık kaynak projelerini de ele alacak. Bazı sanatçılar, çok sayıda yapay zeka ve makine öğrenimi projesinde kullanılan açık kaynaklı bir programlama dili olan Python gibi projelere odaklanacak.
Umulan, kötü niyetli faaliyetlerden kaynaklansın ya da kaynaklanmasın, gelecekteki bir felaketin önlenmesinin daha kolay hale getirilmesidir.
Bratus, "Baktığınız hemen her yerde açık kaynaklı yazılım buluyorsunuz" diyor. "Özel mülk yazılımlara baktığınızda bile, yakın zamanda yapılan bir araştırma aslında %70 veya daha fazla açık kaynak olduğunu gösterdi."
Aitel, "Bu kritik bir altyapı sorunu," diyor. "Bunu kontrol edemiyoruz. Bunu kontrol altına almamız gerekiyor. Bunun potansiyel etkisi, kötü niyetli bilgisayar korsanlarının Linux makinelere her zaman erişebilecek olmasıdır. Buna telefonunuz da dahil. Bu kadar basit."
Hiç yorum yok:
Yorum Gönder