Yazıcı, çeşitli yazılım türlerinin içindeki etkinlikleri kaydetmek için yaygın olarak kullanılan açık kaynaklı bir araç olan Log4J projesinin bir üyesidir. Bu araç, iCloud'dan Twitter'a kadar uzanan uygulamalar da dahil olmak üzere internetin büyük bir bölümünün çalıştırılmasına yardımcı oluyor ve o ve meslektaşları şu anda çaresizce milyarlarca makineyi riske atan büyük bir güvenlik açığıyla başa çıkmaya çalışıyor.
Log4J'deki güvenlik açığından faydalanmak son derece kolay. Bilgisayar korsanları, savunmasız bir makineye kötü niyetli bir karakter dizisi gönderdikten sonra istedikleri kodu çalıştırabilirler. İlk saldırılardan bazıları, kötü amaçlı kodu Minecraft sunucularına yapıştıran çocuklardı. Aralarında Çin ve İran'la bağlantılı olanların da bulunduğu bilgisayar korsanları, şimdi kusurlu kodu çalıştıran bulabildikleri herhangi bir makinedeki güvenlik açığından yararlanmaya çalışıyor.
Ve görünürde net bir son yok. Log4J sorunu aylar ya da yıllar sürmesi beklenen uzun vadeli bir güvenlik krizi anlamına geliyor. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı Direktörü Jen Easterly, bunun şimdiye kadar gördüğü "en ciddi açıklardan biri" olduğunu söyledi.
Bu kadar önemli bir şey için, dünyanın en büyük teknoloji firmalarının ve hükümetlerinin yüzlerce yüksek maaşlı uzmanla anlaşarak açığı hızla kapatmasını bekleyebilirsiniz.
Gerçek ise farklıdır: Uzun zamandır temel internet altyapısının kritik bir parçası olan Log4J, gönüllü bir proje olarak kuruldu ve milyon ve milyar dolarlık birçok şirket her gün ona güvenip ondan kar etmesine rağmen hala büyük ölçüde ücretsiz olarak yürütülüyor. Yazıcı ve ekibi bunu neredeyse bedavaya düzeltmeye çalışıyor.
Bu garip durum, herkesin kodlarını incelemesine, değiştirmesine ve kullanmasına izin veren programlar olan açık kaynaklı yazılım dünyasında rutindir. Bu, internetin işleyişi için kritik hale gelen onlarca yıllık bir fikir. Doğru gittiğinde, açık kaynak işbirliğine dayalı bir zaferdir. Yanlış gittiğinde ise geniş kapsamlı bir tehlikedir.
Google'da açık kaynak projeleri üzerinde çalışan bir geliştirici olan Filippo Valsorda, "Açık kaynak interneti ve dolayısıyla ekonomiyi yönetiyor" diyor. Yine de, "temel altyapı projelerinin bile küçük bir bakımcı ekibine, hatta o projede çalışmak için para almayan tek bir bakımcıya sahip olması son derece yaygındır" diye açıklıyor.
Tanınma yok
Yazıcı, kendisine ilk ulaştığımda bana e-posta yoluyla "Ekip 24 saat çalışıyor" dedi. "Ve benim sabah 6'dan sabah 4'e (hayır, saatte yazım hatası yok) kadar olan mesaim yeni bitti."
Uzun günlerinin ortasında, Yazıcı eleştirmenlere parmak sallamak için zaman ayırdı ve şu tweet'i attı: "Log4j bakımcıları hafifletme önlemleri üzerinde uykusuz bir şekilde çalışıyorlar; düzeltmeler, dokümanlar, CVE, sorulara yanıtlar vb. Ancak hiçbir şey insanları, para almadığımız bir iş için, hepimizin sevmediği ancak geriye dönük uyumluluk endişeleri nedeniyle saklamamız gereken bir özellik için bize saldırmaktan alıkoymuyor."
Log4J açığı bu silik ama her yerde bulunan yazılımı manşetlere taşımadan önce, proje lideri Ralph Goers'ın çalışmalarını destekleyen toplam üç küçük sponsoru vardı. Tam zamanlı işinin yanı sıra Log4J üzerinde de çalışan Goers, kusurlu kodu düzeltmek ve milyonlarca dolar zarara neden olan yangını söndürmekle görevli. Bu, boş zaman uğraşısı için muazzam bir iş yükü.
Güvenlik firması Veracode'un baş teknoloji sorumlusu Chris Wysopal, açık kaynaklı yazılımların yetersiz finanse edilmesinin "Amerika Birleşik Devletleri, kritik altyapı, bankacılık ve finans için sistemik bir risk" olduğunu söylüyor. "Açık kaynak ekosistemi kritik altyapı açısından Linux, Windows ve temel internet protokolleri ile aynı öneme sahip. Bunlar internet için en büyük sistemik risklerdir."
İşler nasıl bu noktaya geldi? Cevap başka bir soru şeklinde geliyor: Teknoloji şirketleri bedava aldıkları bir şey için neden ödeme yapsınlar ki? Ancak açık kaynaklı yazılımların muazzam önemi, statükonun giderek daha fazla savunulamaz olarak görüldüğü anlamına geliyor.
Valsorda, "Gönüllülük kritik altyapı için sürdürülemez çünkü gönüllüler 'işin' sadece eğlenceli ya da ilginç kısımları üzerinde çalışma hakkına sahiptir" diyor. "Açık kaynaklı bir proje aynı zamanda dikkatli testlere, sürüm mühendisliğine, sorun triyajına, güvenlik incelemelerine, katkıların kod incelemesine ihtiyaç duyar ve bir bakımcı bu yönlerin bazılarını ya da hiçbirini kendi içinde motive edici bulmayabilir."
Log4J ekibi üzerindeki baskı ve eleştiriler arttıkça, açık kaynak dünyası hakkında eski adalet soruları sorulmaya başlandı.
Log4'ü kuran Ceki Gülcü, "Adalet bir sorun," diyor. "Bir şeyden kazanç sağladığınız ama hiçbir şey geri vermediğiniz garip bir dengesizlik var."
Kamuoyu aynı zamanda interneti çalıştıran, özgür emekle çalışan açık kaynaklı yazılımların muazzam rolünden -ve risklerinden- neredeyse tamamen habersiz. Örneğin OpenSSL şifrelemeye güç veriyor ve Linux, Android de dahil olmak üzere gezegende en yaygın kullanılan işletim sistemlerinin arkasında yer alıyor.
Gülcü, açık kaynak projelerinde işe alma ve işte tutma sorunlarına işaret ediyor. Ücretler bir şirketin ödeyebileceğinin çok az bir kısmından sıfıra kadar değiştiğinde, büyük projelerde bile yetenekleri çekmek ve elde tutmak kolay değildir. Ve bunun ulusal güvenlik üzerinde zincirleme etkileri olabilir.
2018 yılında, ua-parser-js adlı popüler bir açık kaynak projesinin arkasındaki geliştirici, artık ücretsiz çalışmak istemediği için istifa etti. Bu yazılım Google, Amazon ve Facebook gibi büyük teknoloji firmaları tarafından kullanılıyor. Ua-parser-js'nin kontrolünü ele geçiren kişi daha sonra yazılımı ele geçirdi ve kripto para çalmak için projeye kötü amaçlı kod ekledi. ABD İç Güvenlik Bakanlığı sonunda kullanıcılara iş başındaki hacker hakkında bir uyarı yayınladı. Yazılımı kullanan binlerce geliştiriciye rağmen, bu proje 41,61 $ gibi cüzi bir fon toplamıştı. Kontrolü anonim halefine özgürce bırakan orijinal geliştirici durumu "delilik" olarak nitelendirdi.
Bununla birlikte, üst düzey yazılım geliştiriciler her zaman yıllarca ücretsiz emek harcayıp karşılığında hiçbir şey almazlar. Örneğin Gülcü, Log4J üzerindeki ücretsiz çalışmalarını finans sektöründe çok sayıda kazançlı yazılım geliştirme işine dönüştürdü.
Açık kaynak çalışmalarının daha sonra ücretli işlere yol açacak bir portföy oluşturmaya yardımcı olması aslında oldukça tipik bir durum. Bu yapı bazı açılardan diğer sektörlerdeki ücretsiz stajlara benziyor; bu sistem giderek daha fazla etik dışı, sömürücü ve yapamayanların aleyhine yığınla karşılıksız iş üstlenmeyi göze alabilen insanlara haksız avantaj sağlayan bir sistem olarak görülüyor. Bu şekilde, açık kaynak çalışmalarının yetersiz finanse edilmesi, teknik sorunlardan daha fazlasını sürekli hale getirebilir.
Statüko nasıl düzeltilir
Bu durumla ilgili sorunlar nihayet kabul görmeye başladı.
Wysopal, "Teknoloji şirketleri, işletmeler, yazılım yazan herkes açık kaynağa bağımlı," diyor. "Artık hükümetin en üst düzeylerinde bunun büyük bir risk olduğu kabul ediliyor."
Easterly ve diğer uzmanlar teknoloji şirketlerinin şeffaflığı artırmaları gerektiğini söylüyor. Başkan Joe Biden'ın 2021'de siber güvenlikle ilgili bir idari emri ile zorunlu kılındığı gibi bir Yazılım Malzeme Listesi'nin benimsenmesi, hem geliştiricilerin hem de kullanıcıların yazılım kusurları keşfedildiğinde aslında nelerin hacklenmeye açık olduğunu daha iyi anlamalarına yardımcı olacaktır.
Kendi açık kaynak çalışmalarını yüksek profilli bir kariyere dönüştürmeyi başaran Valsorda, geliştiriciler ile çalışmalarını kullanan büyük şirketler arasındaki ilişkiyi resmileştirmenin ve profesyonelleştirmenin yardımcı olabileceğini söylüyor. Kritik altyapının zaten tam zamanlı bir işi olan bir geliştiricinin boş zamanına bağlı kalmaması için açık kaynak çalışmalarının hobisel bir uğraş olmaktan çıkarılıp profesyonel bir kariyer yoluna dönüştürülmesini savunuyor. Ve şirketlerin açık kaynak projelerini sürdüren kişilere adil piyasa değerlerini ödeyecek sistemler geliştirmeleri gerektiğini savunuyor.
Bazı şirketler bu ihtiyacı çoktan fark etmiş durumda. Google kısa süre önce açık kaynak geliştirmeyi desteklemek ve güvenlik açıklarını gidermek için 100 milyon dolar taahhüt etti.
Wysopal, açık kaynak projelerinin sağlığını anlamak için daha fazla şey yapılması gerektiğini söylüyor -son güncelleme bir hafta önce miydi yoksa iki yıl önce mi- ve ardından iyi projeleri sistematik olarak desteklerken güvenliği sağlanamayanları öldürmek. Bir başka Google projesi olan Açık Kaynak Teknolojisi Geliştirme Fonu, kritik açık kaynak projelerini denetlemeyi ve geliştirmeyi amaçlıyor.
Log4J güvenlik açıklarından kaynaklanan serpinti, daha büyük bir sorunun mükemmel bir örneğidir. Kusurlar yazılımın tasarımındadır ve bu nedenle kusurları bulmak için tasarımı gerçekten anlayan birine ihtiyacınız vardır. Yazılıma bakıp kusurları bulmaları için dışarıdan kişilere ödeme yapan mevcut "hata ödülü" modelleri bu konuda yeterince yardımcı olmuyor, çünkü dışarıdan gelenler bu tür derin bir anlayış geliştirmek için finansal teşvike sahip değiller.
Wysopal, "Bu kesinlikle bir piyasa başarısızlığı" diyor. "Paylaşılan kodun iyi kısmını biz alıyoruz ve kötü kısmının cezasını başkasına çektiriyoruz. Bulmak ve düzeltmek için daha fazla fon sağlanmalı."
Hiç yorum yok:
Yorum Gönder