- Bir geliştiricinin bir program dahilindeki sabotaj eylemini ortaya çıkarması sonrasında ABD, önemli siber güvenlik endişeleriyle boğuşuyor.
- Geliştiricilerinden biri tarafından kasıtlı olarak sabote edilen program, internetteki milyonlarca sunucuya gizli bir kapı açabilirdi.
- Hükümet yetkilileri, açık kaynaklı yazılımın nasıl korunacağı konusunda endişelere yol açan olay nedeniyle alarma geçti.
San Francisco dışında Microsoft için çalışan Freund, açık kaynaklı yazılım programı XZ Utils'in en son sürümünün, geliştiricilerinden biri tarafından kasıtlı olarak sabote edildiğini keşfetti; bu, dünya çapındaki milyonlarca sunucuya gizli bir kapı açabilecek bir hareketti. internet.
Güvenlik uzmanları, Freund'un değişikliği XZ'nin en son sürümü geniş çapta kullanıma sunulmadan önce fark etmesi sayesinde dünyanın bir dijital güvenlik krizinden kurtulduğunu söylüyor.
ÇİNLİ HACKER'LAR, KEŞİFTEN ÖNCE 'EN AZ 5 YIL' BOYUNCA ABD ALTYAPISINA ERİŞİM SAHİBİ OLDU
Bulgunun etkilerini takip eden Tenable'da güvenlik araştırmacısı olan Satnam Narang, “Gerçekten bir kurşundan kurtulduk” dedi. “Bu, kaşlarımızı silip 'Bu sefer gerçekten şanslıydık' dememiz gereken anlardan biri.”
Bir yazılım geliştiricisi geçen ay bazı ayrıntılı performans testleri yaparken az bilinen bir programda tuhaf davranışlar fark etti. Araştırdığında bulduğu şey yazılım dünyasını ürpertti ve teknoloji yöneticilerinin ve hükümet yetkililerinin dikkatini çekti. (REUTERS/Dado Ruvic/İllüstrasyon/Dosya Fotoğrafı)
Ramak kala dikkatleri, şeffaflığı ve esnekliği internet ekonomisinin temeli olarak hizmet ettikleri anlamına gelen, ücretsiz, çoğunlukla gönüllüler tarafından yürütülen programlardan oluşan açık kaynaklı yazılımların güvenliğine yeniden odakladı.
Bu tür projelerin çoğu, bir yığın düzeltme ve iyileştirme talebinin altından çıkmak için mücadele eden, ücretsiz gönüllülerden oluşan küçük bir çevreye dayanıyor.
Linux işletim sisteminin dağıtımlarında paketlenmiş bir dosya sıkıştırma araçları paketi olan XZ, uzun süre tek bir yazar olan Lasse Collin tarafından sürdürüldü.
GÜVENLİK DİREKTÖRLERİ KONGREDE ÇİN'İN SİBER SALDIRILARININ AMERİKA GENELİNDE 'TOPLUMSAL PANİK YARATMA' AMAÇLI OLDUĞUNU SÖYLEDİ
Son yıllarda baskı altında görünüyordu.
Haziran 2022'de halka açık bir posta listesine gönderilen bir mesajda Collin, “uzun vadeli zihinsel sağlık sorunlarıyla” uğraştığını söyledi ve Jia Tan adında yeni bir geliştiriciyle özel olarak çalıştığını ve “belki de bu konuda daha büyük bir role sahip olacağını” ima etti. gelecek.”
Açık kaynaklı yazılım sitesi Github'da bulunan güncelleme günlükleri, Tan'ın rolünün hızla genişlediğini gösteriyor. Günlükler, 2023 yılına gelindiğinde Tan'ın kodunu XZ ile birleştirdiğini gösteriyor; bu da projede güvenilir bir rol kazandığının bir işareti.
Ancak kayıtları inceleyen siber güvenlik uzmanları, Tan'ın yardımsever bir gönüllü kılığına girdiğini söylüyor. Önümüzdeki birkaç ay içinde Tan'ın XZ'ye neredeyse görünmez bir arka kapı açtığını söylüyorlar.
Collin yorum isteyen mesajlara yanıt vermedi ve web sitesinde durumu yeterince iyi anlayana kadar muhabirlere yanıt vermeyeceğini söyledi.
Tan, Gmail hesabına gönderilen mesajlara geri dönmedi. Reuters, Tan'ın kim olduğunu, nerede olduğunu veya kimin için çalıştığını tespit edemedi ancak güncellemelerini inceleyenlerin çoğu, Tan'ın uzman bir hacker veya hacker grubunun takma adı olduğuna inanıyor. Güçlü bir istihbarat servisi adına.
XZ gibi projeleri savunmak için çalışan Açık Kaynak Güvenlik Vakfı'nın genel müdürü Omkhar Arasaratnam, “Bu anaokulu meselesi değil” dedi. “Bu inanılmaz derecede karmaşık.”
Microsoft geliştiricisi Freund olmasaydı Tan, XZ'nin en son sürümünün aralıklı olarak beklenmedik miktarda işlem gücü kullandığını fark ettiğinde merakı uyanan Microsoft geliştiricisi Freund olmasaydı bu durumdan kolayca kurtulabilirdi.
Microsoft, Freund'u bir röportaj için kullanılabilir hale getirmeyi reddetti, ancak kamuya açık e-postalarda ve sosyal medyadaki gönderilerde Freund, gözden kaçması kolay bir dizi ipucunun kendisini arka kapıyı keşfetmeye ittiğini söyledi.
Freund, sosyal ağ Mastodon'da, bulgunun “gerçekten çok fazla tesadüf gerektirdiğini” söyledi.
Microsoft CEO'su Satya Nadella hafta sonu Freund'u tebrik etti ve sosyal ağ X'e gönderdiği bir gönderide geliştiricinin “merakı ve ustalığıyla hepimize yardım edebildiğini” görmekten hoşlandığını söyledi.
Açık kaynak topluluğunda bu keşif düşündürücü oldu. Arasaratnam, internetin temelini oluşturan yazılımın bakımını yapan gönüllülerin az ücret veya tanınma fikrine yabancı olmadığını, ancak şu anda İyi Samiriyeliler gibi davranan iyi kaynaklara sahip casuslar tarafından avlandıklarının farkına varılmasının “inanılmaz derecede korkutucu” olduğunu söyledi. Açık Kaynak Güvenlik Vakfı'nın .
Hükümet yetkilileri aynı zamanda açık kaynaklı yazılımın nasıl korunacağı konusundaki endişelerin altını çizen ramak kala olayın sonuçlarını da değerlendiriyor. Ulusal Siber Direktör Yardımcısı Anajana Rajan, Politico'ya “açık kaynak kodunu korumak için bundan sonra ne yapacağımız konusunda yapmamız gereken çok sayıda görüşme olduğunu” söyledi.
FOX HABER UYGULAMASINA ULAŞMAK İÇİN TIKLAYIN
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kaynakları onu inşa eden ve sürdüren topluluklara geri aktarmak için açık kaynaklı yazılım kullanan ABD şirketlerine yaslandığını söylüyor. CISA danışmanı Jack Cable, Reuters'e yükün yalnızca açık yazılımları incelemek değil, aynı zamanda “çok fazla değer elde ettiğimiz sürdürülebilir açık kaynak ekosisteminin inşasına katkıda bulunmak ve yardımcı olmak” yükünün teknoloji şirketlerinin omuzlarında olduğunu söyledi.
Yazılım şirketlerinin bunu yapmaya uygun şekilde teşvik edilip edilmediği açık değildir. Çevrimiçi açık kaynaklı e-posta listeleri, teknoloji devlerinin, gönüllülerin bu şirketlerin milyarlarca dolar kazanmak için kullandığı açık kaynaklı yazılımlarla ilgili sorunları gidermesini talep ettiği yönündeki şikayetlerle dolu.
Çözüm ne olursa olsun, neredeyse herkes XZ bölümünün bir şeylerin değişmesi gerektiğini gösterdiği konusunda hemfikir.
Freund başka bir Mastodon gönderisinde “Burada inanılmaz derecede şanslıydık” dedi. “İleriye dönük olarak buna güvenemeyiz.”