Yeni dijital çağın en belalı tehditlerinden olan sıfır gün (zero-day) açıkları ile açık kaynak (open source) kütüphaneler ve uygulamalar arasında son dönemde yaşananlardan ötürü artık belirgin bir ilişki olduğunu kolaylıkla söyleyebiliriz. Zira ortada ‘Heartbleed’ ile su yüzüne çıkan çok büyük bir problem var.

 

Sıfır Gün Açığı Nedir? (0 gün / zero day)
Genellikle bir yazılımda bir zayıflığın keşfedildiği gün, çok uzun zamandan beri o açıklığın kötücül niyetli saldırganlar tarafından bulunup kullanıldığının ortaya çıkmış olmasıdır. Ayrıca zayıflık ortaya çıktıktan sonra geliştirici tarafından bir güncelleme/düzeltme sunulamadan önce faydalanılan/sömürülen bir zayıflıktır.

 

Heartbleed Açığı

Heartbleed açığı, 2012 Mart ayından 2014 Nisan’a kadar tam 2 yıl boyunca açık kaynak kodlu kriptografi kütüphanesi OpenSSL‘de varlığını sürdüren ve dünya genelinde hala gerekli güncellemeleri yapılmamış olan tonlarca internete bağlı makineyi doğrudan etkileyerek SSL/TLS bağlantısında sunucunun şifrelemeyi sağlayan gizli anahtarını ele vermesini ve sunuculardaki hassas kullanıcı bilgileri ile parolaların sızmasına neden olan şimdiye kadar ortaya çıkabilmiş en tehlikeli (güvenlik derecesi 10 üzerinden 11!) sıfır gün açığıdır [CVE-2014-0160].

Sadece Heartbleed açığını kullanılarak Google, Facebook, Twitter ve Microsoft gibi internete bağlı neredeyse herkesin bir hesabının bulunduğu büyük servislerdeki kullanıcıların şifreleri ile verilerine ulaşabilmek mümkündü. Bu açık, iki yıl boyunca (2012-2014) herhangi bir denetim mekanizmasına bağlı olmadan ve kendi destek topluluğu tarafından pek fazla sorgulanmadan kullanılan OpenSSL kütüphanesinin TLS/DTLS implementasyonundaki Heartbleed eklentisinde ortaya çıkmıştı. Açıklığın varlığı ise Codenomicon ile Google Security’den bir grup araştırmacı sayesinden ortaya çıktı.

İşin daha da ilginç olan yönü, Heartbleed açıklığının ortaya çıkmasının ardından OpenSSL meraklı gözler tarafından gözlem altına alındığında, bu açık kaynak kriptografi kütüphanesinde bir dizi ciddi güvenlik açığının daha olduğuydu (arka arkaya güncellemeleri çıktı) ve en son 2014 Haziran ayında ortadaki adam saldırısına sebep olan (MiTM) bir açıklığın varlığı da ortaya çıkmıştı. En kötüsü ise Heartbleed’den sonra yine OpenSSL’de çıkan bazı açıklıkların ondan daha tehlikeli olduğuydu ki, Heatbleed’in ilk olması ve medyada çok fazla yer bulması nedeniyle diğerlerini gölgede bırakmıştı.

Açık Kaynak Servisler/Uygulamalar Öldürücü Zehir mi Saçıyor?

İnternetin en büyüklerinin bile kendi servisleri için bel bağlayarak sınırsız bir şekilde kullandığı açık kaynak kütüphaneler ile uygulamaların en büyük handikapı, sadece “community review” denilen bir topluluk dayanışması ile denetlemesine tabi olduğudur. Kökeninde belki sadece bir avuç ya da birkaç kişinin sürekli emeğini ve zamanını verdiği bu açık kaynak kütüphaneler, son yaşanan güvenlik felaketlerinden sonra iyice mercek altına alındı ve güvenilirlikleri sorgulanır hale geldi. Ama internetin en büyükleri tarafından bile kullanılmaktan vazgeçil(e)mediler.

Yeterli maddi destekten de mahrum olan bu açık kaynak hizmetler düzenli bir güvenlik denetimlerine sahip olmadıklarından her an yeni bir sıfır gün açığının kalbi konumunda olduklarını çoktan kanıtladılar. Heartbleed açığının, eklentisinin hayatı geçtiği tarihten iki yıl sonra bulunmuş olması açık kaynak kütüphanelerdeki denetim mekanizmasının ne kadar yavaş işlediği ve hatta aslında pek işe yaramadığını çok net bir şekilde gösterniş oldu.

Açıklığın yayınlanmasından sonra IT ortamlarının açığı kapatmak için ciddi bir değişiklik yönetimine (change management) gitmeleri gerektiğinden hala birçok önemli yerde bu açıklık doğru bir şekilde kapatılabilmiş değil. Zira açık kaynak kütüphanelerin bir diğer sorunu da yıl içinde çok fazla güncelleme duyurusu geçmemeleri ve bunun duyurulması noktasında yaşanan sıkıntılardır. Bu durum da yamaların geç ya da eksik geçilmesine neden olmasıdır.

OpenSSL’in yanında Apple, Google ve Sony tarafından milyarlarca cihazda ve online hizmette kullanılan yazı tipi (font) oluşturma açık kaynak kütüphanesi olan FreeType‘ta son 7 yılda 50’den fazla kririk açıklık çıktı ki, bunlardan sadece biri iPhone’ları uzaktan yönetmeyi sağlayan “Jailbreakme”nin temeli olmuştu. Bunun yanında yine Apple, Google, Microsoft ve Sony tarafından yüzlerce donanım, cihaz ve yazılımda resim ve video göstermek için yararlanılan LibPNG kütüphanesi de aslında tehlike altında ve riskli bir görünüm arz ediyor.

 

İşte tüm bu sorunlar açık kaynak kütüphaneler ile hizmetlerin yeni ortaya çıkacak ve hatta mevcut olduğu düşünülen sıfır gün açıklarının günah keçisi haline getiyor. Açık-kaynak kütüphanelerin çokça bel bağlanılan ve hizmetlerin temelini oluşturan yapılarından ötürü güvenlik risk değerlendirmesinde artık başı çekeceğini ve sürekli gözlem altına tutulacağını büyük oyuncular tarafından söyleyebiliriz ama hemen onun çevresinde çok daha büyük bir ekosistemi oluşturan diğer IT kurumları ile çevrelerinde henüz gerektiği ölçüde dikkat çekmediğini de eklemeliyiz.