İnternete düşen bomba…

Bugün siyaset veya ekonomi konuşmayalım, teknolojiden söz edelim, biraz kafamız dağılsın. Bu vesileyle dünyada başka şeyler de olduğunu hatırlayalım.

Bu ayın başlarından beri, dünyanın internete bağlı neredeyse bütün sunucuları çok ciddi bir tehdit altında.

Çünkü bu sunucular ister istemez bir “log” yani kayıt tutuyor. Bu kayıtlar, internet hayatının olmazsa olmazı. Dünya üzerindeki sunucuların tamamı değilse bile belki yüzde 99’u bu kayıtları tutmak için Log4j adı verilen bir yazılım parçasını kullanıyor. İşte uzmanlar tarafından “CVE-2021-44228” koduyla isimlendirilen güvenlik açığı tam da bu yazılım parçasının içinde gizli.

“Log” herkesin kullandığı sistemlerin merkezini oluşturuyor. Şirkette, şirketin bilgisayarlarına kimliğinizi ve şifrenizi yazarak giriyorsunuz. Yani “Log in” oluyorsunuz. Sadece şirketin değil. Elektronik postanıza, banka hesabınıza, her yere kendi kimliğinizi kanıtlayan kullanıcı adı ve şifrenizle giriyorsunuz. Şifresiz kimliksiz yerlere girerken bile “log” oluyorsunuz. Internet “log”la işliyor bir yerde.

Şimdi bütün bu kayıtlar (üstelik sadece giriş kayıtları da değil, girdikten sonra sistemin içinde yaptığınız her şeyin de kaydı aynı yazılım aracılığıyla tutuluyor) korsanların eline geçebilir.

O yüzden bu güvenlik açığını kapatmak için inanılmaz bir yarış devam ediyor. Korsanlar bu açık üzerinden şirketler başta olmak üzere buldukları her yere saldırıyor; buna izin vermek istemeyen güvenlik yazılımcıları da hatayı gidermenin peşinde.

Fakat bir büyük problem var. Söz konusu güvenlik açığını yaratan Log4j yazılım parçası, “open software project” kapsamında yazılmış, bedava bir yazılım. Bu yazılımın yaratıcılarından biri Türkiye kökenli bir yazılımcı, İsviçre Lozan’da yaşayan Ceki Gülcü.

Uzun süre kendisinin kurucularından olduğu bu projede çalışmış (1999’dan 2006’ya kadar), bugün ortaya çıkan güvenlik sorunu için Facebook’a “…şimdiye kadar keşfedilen bilgisayar tarihinin en kötü zayıf noktalarından biri. Sertliği için 10 üzerinden 10 puan alıyor” diye yazmış. Gülcü bu konuda önemli uzmanlardan biri, Log4j ile ilgili bir kitabı da var.

Amerika’daki ünlü MIT üniversitesinin Technology Review adlı dergisinde çıkan Log4j haberi aynen şu cümleyle başlıyor: “Şu anda Volkan Yazıcı günde 22 saat ücret almadan çalışıyor.”

Evet, Volkan Yazıcı da Log4j projesinin bir elemanı. Ortaya çıkan güvenlik açığını gidermek için gece gündüz çalışan ekibin parçası ve günde 22 saat çalışıyor. Kimse beş kuruş ücret vermiyor. Üstelik bir de, “Neden hala açığı kapatamadınız” diye kızıyorlar ona.

Kimse ne Ceki Gülcü’ye ne de Volkan Yazıcı’ya ve onlarla birlikte bu herkese açık yazılım projelerinde çalışan belki binlerce yetenekli yazıcıya para vermedi ama hepimiz onların yazdıklarını kullanıyoruz. Hadi bizi geçtim, Google, Amazon, Facebook gibi teknoloji devleri de o yazılımları kullanıyor. Bütün Android mobil işletim sistemi, açık tabanlı bu yazılımların üzerine kurulu.

Dünyanın açık ara en çok kullanılan sistem yazılımı olan Linux, zamanında IBM ve Microsoft’un oluşturduğu tekellere karşı bir tepki olarak açık kaynak kod teknolojisiyle ortaya konmuş bir işletim sistemi.

İşe bakın ki Microsoft da, IBM de bugün Linux kullanıyor, Log4j de bu sistemin ayrılmaz parçası. Ama diyorum ya, açık sistemin bir sahibi yok. Bir problem çıktığında da gönüllüler gidiyor çalışıyor, sorunu gidermeye uğraşıyor.

Dünyanın dört bir yanındaki yazılımcılar için Linux ve onu oluşturan kütüphaneler büyük kolaylık. Elbette bir yazılımcı isterse kendi “log” yazılımını yaratabilir ama basitçe gidip herkese açık kütüphaneden kopyalayıp yapıştırmak dururken bunu niye yapsın, günlerini alacak bir işe neden kalkışsın.

Günümüzde çoğu yazılım böyle. Bütünü oluşturan parçaların çoğu hazır bir şekilde duruyor. Yazılımcı, kendi yazılımını yaparken bu parçaları da alıyor, ona entegre ediyor.

Türkiye’den henüz uyaran çıkmadı, izlediğim kadarıyla bu konuya haber olarak eğilen pek gazeteci de yok ama mesela Amerikan hükümetinin Sibergüvenlik ve Altyapı Güvenliği Dairesi’nin başkanı Jen Easterly geçen hafta bir uyarı yayınladı bu konuda. Easterly, “Bütün kariyerim boyunca gördüğüm en ciddi güvenlik açığı bu” diyor. Amerikan Wired dergisine göre bugünkü açık yıllarca interneti ve internete bağlı bütün cihazları etkileyecek. Hatta “Internet of Things” adıyla anılan minik sensörler ve diğer aletler bile korsan saldırılarına açık durumda şu an.

Zaten öyle olduğu için Microsoft’tan CİSCO’ya kadar bütün dev şirketler bir yandan müşterilerini uyarıyor bir yandan da çözüm yolları bulmaya çalışıyorlar.

Bu sorunla ilgili olarak The Scientific American dergisi, Beyaz Saray’ın eski bilgi güvenliği sorumlusu Theresa Payton ile konuşmuş. Onun söylediği şu: “Şu anda korsanlar sadece kendi hayal güçleriyle sınırlılar. İstedikleri her şeyi yapabilir durumdalar, gereken bilgiye ve istedikleri yapma gücüne de sahipler.”

Ya, bakın dünyada başka neler oluyor…

YORUMLAR (14)
YORUM YAZ
UYARI: Hakaret, küfür, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış, Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır. (!) işaretine tıklayarak yorumla ilgili şikayetinizi editöre bildirebilirsiniz.
14 Yorum