CircleCI Veri Sızıntısı

circleci bilgi sizintisi

CircleCI – kod oluşturma hizmet  müşterilerinin kimlik bilgilerinin ele geçirilmesi nedeniyle mağduriyet yaşıyor. Hatırlayacaksınız 2020 sonunda Solarwindste benzer bir siber güvenlik vakası yaşanmış ve bir çok şirket önemli ölçüde etkilenmişti. CircleCI’da yaşanan veri sızıntısı biraz daha vahim sonuçlar doğurabilir. CircleCI’in oldukça fazla müşterisi var ve bu müşteriler bu platform üzerinde yazılımlarını geliştiriyorlar. Bu nedenle bu platformdan çalınan müşterilerin bu yazılım platformlarına erişilebilecek yetkili erişim bilgilieri (kullanıcı adı, şifre, token,…) kötü niyetli kişilerin eline geçmiş ise ilgili şirketleri çok zor günler bekliyor. Umarız bu sızıntının etkisi çok yüksek olmaz. Konuyla ilgili Sophos’un yayınladığı haberi aşağıda bulabilirsiniz.

Eğer bir programcıysanız, ister hobi için ister profesyonel olarak kod yazıyor olun, projenizin yeni bir sürümünü – kendinizin, arkadaşlarınızın veya müşterilerinizin gerçekten yükleyip kullanacağı resmi bir “sürüm” – oluşturmanın her zaman biraz zor olduğunu bilirsiniz.

Sonuçta, bir sürüm tüm kodunuza bağlıdır, tüm varsayılan ayarlarınıza dayanır, yalnızca yayınlanmış belgelerinizle (ancak içeriden bilgi olmadan) çıkar ve daha önce hiç görmediğiniz bilgisayarlarda bile çalışması gerekir, uyumluluk için hiç test etmediğiniz diğer yazılımlarla birlikte hiç hayal etmediğiniz yapılandırmalarda kurulur.

Basitçe söylemek gerekirse, bir proje ne kadar karmaşık hale gelirse, üzerinde ne kadar çok geliştirici çalışırsa ve diğerleriyle sorunsuz çalışması gereken o kadar çok ayrı bileşen olursa…

…bütünün, parçaların toplamından çok daha az etkileyici olması daha olasıdır.

Kaba bir benzetme olarak, en hızlı bireysel 100m sprinterlerine sahip atletizm takımının her zaman 4x100m bayrak yarışını kazanmadığını düşünün.

CI (Continues Integration-Sürekli Entegrasyon) kurtarmaya geliyor

Bu tür bir “ama benim bilgisayarımda sorunsuz çalışıyordu” krizinden kaçınmaya yönelik bir girişim, jargonda Sürekli Entegrasyon veya kısaca CI olarak bilinen bir tekniktir.

Fikir basittir: herhangi biri projenin kendi bölümünde bir değişiklik yaptığında, o kişinin yeni kodunu alın ve tıpkı son sürüm versiyonunu oluşturmadan önce yaptığınız gibi, onları ve yeni kodlarını tam bir derleme ve test döngüsünden geçirin.

Erken derleyin, sık derleyin, her şeyi derleyin, her zaman derleyin!

Açıkçası bu, fiziksel dünyadaki projelerin sahip olamayacağı bir lükstür: örneğin bir Sydney Harbour Köprüsü inşa ediyorsanız, perçinleme sürecini değiştirmeye karar verdiğinizde veya zirveye daha büyük bayrak direkleri sığdırıp sığdıramayacağınızı görmek için her seferinde tamamen yeni hammaddelerle tüm bir test açıklığını yeniden inşa edemezsiniz.

Bir bilgisayar yazılımı projesini bir grup kaynak dosyadan bir çıktı dosyaları koleksiyonuna “inşa ettiğinizde” bile, elektrik gibi değerli kaynakları tüketirsiniz ve geliştiricilerin kendilerinin kullandığı tüm bilgisayarlarla birlikte çalışmak için bilgi işlem gücünde ani bir artışa ihtiyaç duyarsınız.

Sonuçta, CI kullanan yazılım mühendisliği süreçlerinde fikir, herkes hazır olana kadar beklemek ve ardından herkesin programlamadan geri çekilip son bir derlemenin tamamlanmasını beklemek değildir.

Derlemeler tüm gün, her gün gerçekleşir, böylece kodlayıcılar yanlışlıkla diğer herkesi olumsuz etkileyen “iyileştirmeler” yapıp yapmadıklarını çok önceden söyleyebilirler – jargonun söyleyebileceği gibi derlemeyi bozarlar.

Buradaki fikir şudur: erken hata yap, hızlı düzelt, kaliteyi artır, öngörülebilir ilerleme kaydet ve zamanında sevk et.

Elbette, başarılı bir test derlemesinden sonra bile yeni kodunuzda hala hatalar olabilir, ancak en azından bir geliştirme döngüsünün sonuna geldiğinizde, çeşitli bileşenler hizadan uzaklaştığı için herkesin yazılımı derlemek ve çalıştırmak için çizim tahtasına geri dönmesi gerekmeyecektir.

İlk yazılım geliştirme yöntemleri genellikle bir şelale modelini takip etmek olarak adlandırılırdı; bu modelde proje son sürüm tarihleri arasında nehrin aşağısına doğru yavaşça sürüklenirken herkes uyumlu ancak bağımsız bir şekilde çalışırdı, ta ki döngünün sonunda her şey yeni bir sürüm oluşturmak için bir araya gelene kadar, bir sürüm yükseltmesinin çalkantılı şelalesine dalmaya hazır, yalnızca daha fazla tasarım ve geliştirme için akıntının aşağısındaki başka bir yumuşak su dönemine çıkmaya hazırdı. Ancak bu “şelaleler” ile ilgili bir sorun, genellikle şelalenin tam kenarında, görünüşte sonsuz bir dairesel girdapta sıkışıp kalmanız, yerçekimine rağmen, uzun hack’ler ve modifikasyonlar (ve buna eşlik eden taşmalar) ileriye doğru yolculuğu mümkün kılana kadar uçurumun kenarından hiç geçememenizdi.

Tam buluta göre bir iş
Tahmin edebileceğiniz gibi, CI’ı benimsemek, geliştiricilerinizden herhangi biri bir derleme ve test prosedürünü tetiklediğinde, “şelalenin en ucunda takılıp kalma” durumuna geri dönmekten kaçınmak için emrinizde bir dizi güçlü, kullanıma hazır sunucuya sahip olmak anlamına gelir.

Bu bulut için bir iş gibi görünüyor!

Gerçekten de öyle, çok sayıda CI/CD bulut hizmeti (bu CD çalınabilir bir müzik diski değil, sürekli teslimatın kısaltmasıdır) size farklı ürünlerin sürekli değişen sayıdaki farklı dallarını aynı anda, hatta belki de farklı donanımlarda, farklı şekilde yapılandırılmış yapılardan geçirme esnekliği sunuyor.

CircleCI böyle bir bulut tabanlı hizmettir…

…ama ne yazık ki müşterileri için bir güvenlik ihlaline maruz kaldılar.

Teknik olarak ve bugünlerde yaygın olduğu üzere, şirket resmi bildiriminin hiçbir yerinde “ihlal”, “izinsiz giriş” veya “saldırı” kelimelerini kullanmadı: şu ana kadar sadece bir güvenlik olayı söz konusu.

Orijinal bildirim [2023-01-04] basitçe şunu belirtiyordu:

Şu anda bir güvenlik olayını araştırdığımızı ve soruşturmamızın devam ettiğini size bildirmek istedik. Bu olay ve verdiğimiz yanıtla ilgili güncellemeler elimize ulaştıkça size bildireceğiz. Bu noktada, sistemlerimizde aktif olan yetkisiz taraflar olmadığından eminiz; ancak, tedbirli olmak adına, tüm müşterilerimizden verilerini korumak için bazı önleyici tedbirler almalarını istiyoruz.

Ne yapmalı?
O zamandan bu yana CircleCI düzenli güncellemeler ve daha fazla tavsiyede bulundu: “Lütfen CircleCI’da saklanan tüm şifrelerinizi rotasyona tabi tutun.”

Daha önce de açıkladığımız gibi, ” rotasyon” jargonu burada kötü bir şekilde seçilmiştir, çünkü insanların şifreleri ve sırları az sayıda öngörülebilir seçenekle tam anlamıyla “döndürdüğü” tehlikeli bir geçmişin mirasıdır, sadece o zamanlar yenilerini takip etmek daha zor olduğu için değil, aynı zamanda siber güvenlik bugün olduğu kadar önemli olmadığı için.

CircleCI’nin kastettiği şey, muhtemelen ağı ihlal eden saldırganlar sizin parolalarınızı çaldığı ya da çalmadıkları kanıtlanamadığı için tüm parolalarınızı, gizli bilgilerinizi, erişim tokenlarınızı, ortam değişkenlerinizi, genel-özel anahtar çiftlerinizi ve benzerlerini DEĞİŞTİRMENİZ gerektiğidir.

Şirket, ihlalden etkilenen çeşitli özel güvenlik verilerinin bir listesini sunmuş ve CircleCI-Env-Inspector adında, ortamınızda değiştirmeniz gereken tüm CI sırlarının JSON biçimli bir listesini çıkarmak için kullanabileceğiniz kullanışlı bir komut dosyası oluşturmuştur.

Ayrıca, siber suçlular artık kendi ağınıza geri dönmelerini sağlayabilecek erişim belirteçlerine ve kriptografik anahtarlara sahip olabilirler, özellikle de CI derleme süreçlerinin bazen buluta yükleyemediğiniz veya yüklemek istemediğiniz kod veya verileri talep etmek için “evi araması” gerektiğinden (bunu yapan komut dosyaları jargonda koşucular olarak bilinir).

Bu yüzden CircleCI tavsiye ediyor:

Ayrıca müşterilerin 2022-12-21 tarihinden itibaren [2023-01-04 tarihine kadar ve bu tarih dahil] ya da [gizli bilgilerinizi değiştirme] işleminin tamamlanmasının ardından yetkisiz erişime karşı sistemlerinin dahili günlüklerini incelemelerini öneriyoruz.

Bazı müşterilerin, CircleCI tarafından bu ihlalin başladığı ima edilen tarihin [2022-12-21], şirketin son güvenilirlik güncellemeleriyle ilgili yayınladığı bir blog yazısıyla aynı zamana denk geldiğini belirtmesi ilginçtir.

Müşteriler, “İhlal bu güncellemede ortaya çıkan hatalarla mı ilgiliydi?” diye sordular.

Şirketin yayınladığı güncellemeye ilişkin makalelerin, belirli tarihlerde yapılan münferit değişikliklere ilişkin duyurulardan ziyade, haber özetleri niteliğinde olduğu düşünüldüğünde, bu soruya verilebilecek en açık yanıt “Hayır” olacaktır…

…ve CircleCI, yayınladığı blog yazısının tesadüfi tarihinin 2022-12-21 olmasının sadece bir tesadüf olduğunu belirtmiştir.

Kaynak:

Manşet

Global Altyapı Ortaklarından Yeni Yapay Zeka Ortaklığı: Veri Merkezleri ve Güç Altyapısına Yatırım

Global Altyapı Ortaklarından Yeni Yapay Zeka Ortaklığı. Veri Merkezleri ve Güç Altyapısına Yatırım. Global Infrastructure Partners (GIP), BlackRock, Microsoft ve MGX, yapay zeka (AI) teknolojilerine […]

Müzik ve Hafıza
Bilim

Müzik ve Hafıza

Georgia Institute of Technology tarafından gerçekleştirilen “Müzik ve Hafıza” konulu araştırma, müziğin bilişsel süreçler ve hafıza üzerindeki etkilerine odaklanan önemli bulgular sunuyor. Bu araştırma, özellikle […]

Bilim

Magnon-Fonon Fermi Rezonansı

Araştırma ekipleri bir antiferromanyette magnon-fonon Fermi rezonansını keşfetti. Yakında, veri depolama merkezlerinin dünya enerji üretiminin neredeyse %10’unu tüketmesi bekleniyor. Bu artış, diğer şeylerin yanı sıra, […]

Manşet

Jeodezik Kubbeler

Jeodezik kubbeler, mimari ve mühendislik alanlarında dikkat çeken, işlevsel ve estetik yapılar olarak bilinir. Bu yapılar, ilk olarak 20. yüzyılın başlarında ortaya çıkmış ve zamanla […]

dunya nufusunda zirve
Manşet

Dünya Nüfusunda Zirve

Dünya Nüfusunda Zirve: Gelecekteki Tahminler ve Nedenleri. Son yıllarda dünya nüfusunun geleceği ile ilgili çeşitli tahminler ve senaryolar öne sürülmüştür. Birleşmiş Milletler’in (BM) son raporları, […]

akilli toprak
Bilim

Akıllı Toprak

Akıllık Toprak: Sürdürülebilir Tarım İçin Kendi Kendini Sulayan ve Gübreleyen Yüzeyler. Günümüzde tarım sektörü, artan nüfus ve iklim değişikliği gibi faktörlerle karşı karşıya kalırken, sürdürülebilir […]

nato inovasyon fonu
Manşet

NATO Inovasyon Fonu

Son yıllarda Avrupa’da savunma teknolojisi girişimlerine yapılan yatırımlar hız kazandı. NATO’nun 1 milyar euroluk girişim sermayesi fonunun başındaki Andrea Traversone, Avrupa’nın ABD’deki büyük teknoloji şirketlerine […]

kusaklararasi yoksullasma
Manşet

Kuşaklararası Yoksullaşma

Kuşaklar arası yoksullaşma, ekonomik eşitsizlik ve fırsat adaletsizliği gibi konular, günümüz toplumlarının en önemli sorunlarından biri haline gelmiştir. Baby boomer kuşağından başlayarak, X kuşağı, Y […]

maf antrenman yontemi
Koşu

MAF Antrenman Yöntemi

MAF (Maximum Aerobic Function), Dr. Philip Maffetone tarafından geliştirilen bir antrenman yöntemidir. Bu yöntem, aerobik kapasiteyi maksimize ederek sporcuların daha verimli ve sağlıklı bir şekilde […]

Basketbolda anda olmak, en yüksek performansa yol açan zihinsel bir durumdur. Tabii ki sadece Basketbolda değil, hem takım hem de bireysel tüm sporlarda, aslında odaklanmak gereken her ne iş yapıyorsanız Anda olduğunuzda, tamamen kilitlenirsiniz ve dikkatinizi dağıtan şeyleri engelleyebilirsiniz, bu da her ne yapıyorsanız en iyi şekilde yapmanıza yardımcı olur. Bu yazıda size öncelikle basketbolda antrenmanlarda ve maçlarda anda nasıl daha fazla kalabileceğinizle ilgili bilgiler bulacaksınız.
Manşet

Basketbolda Anda Olmak

Basketbolda anda olmak, en yüksek performansa yol açan zihinsel bir durumdur. Tabii ki sadece Basketbolda değil, hem takım hem de bireysel tüm sporlarda, aslında odaklanmak […]

Elon Musk tarafından kurulan Neuralink beyin implantı teknolojisini ilk hastasına uygulaması ile ilgili bir haber yayınlamıştık.  Elon Musk'ın beyin-bilgisayar arayüzü firması Neuralink, ilk hastası Noland Arbaugh'un düşünceleriyle bir bilgisayar imlecini kontrol ettiği bir video yayınladı. Elon Musk tarafından kurulan beyin-bilgisayar arayüzü şirketi Neuralink, firmanın implantının "hayatını değiştirdiğini" söyleyen ilk hastasının kimliğini açıkladı. Ancak uzmanlar, Nueralink'in mevcut araştırma çabalarını kopyalamanın ötesinde bir şey yapıp yapmadığının henüz net olmadığını söylüyor.
Manşet

Neuralink

Elon Musk tarafından kurulan Neuralink beyin implantı teknolojisini ilk hastasına uygulaması ile ilgili bir haber yayınlamıştık.  Elon Musk’ın beyin-bilgisayar arayüzü firması Neuralink, ilk hastası Noland […]

sihirli dovme murekkebi
Bilim

Sihirli Dövme Mürekkebi

HYPRSKN Magic Ink (Sihirli Mürekkep), dünyanın ilk yeniden yazılabilir, silinebilir ve yeniden programlanabilir dövme mürekkebidir. Bu sihirli mürekkep, dövme sektörünü yeniden tanımlayarak bireylerin vücut sanatı […]

aralikli oruc
Bilim

Aralıklı Oruç

Aralıklı Oruç olarakda bilinen zaman kısıtlı beslenme ile ilgili Amerika Kalp Derneğinin 18-21 Mart 2024 tarihinde Chicago’da düzenlenen “Epidemiyoloji ve Önleme|Yaşam Tarzı ve Kardiyometabolik Bilimsel […]

Yavaş Koşu kavramı Japonya'dan dünyaya yayılan ve uzun, sağlıklı bir yaşam sürmenin sırrı olarak kabul edilen, düşük tempoda yapılan bir koşu türüdür. Bu egzersiz formu, vücuda aşırı yük bindirmeden, kalp sağlığını, metabolizmayı destekleyerek ve zihinsel stresi azaltarak genel sağlığı iyileştirmeye odaklanır. Bu koşu türü Japonya'da Dr. Hiroaki Tanaka tarafından popüler hale getirilmiştir. Dr. Tanaka, bu egzersiz metodunun kalp atış hızını aşırı yükseltmeden, sağlıklı ve etkili bir şekilde fiziksel kondisyonu artırabileceğini keşfetti.
Koşu

Yavaş Koşu

Yavaş Koşu kavramı Japonya’dan dünyaya yayılan ve uzun, sağlıklı bir yaşam sürmenin sırrı olarak kabul edilen, düşük tempoda yapılan bir koşu türüdür. Bu egzersiz formu, […]

Beyin çiplerinin geleceği nasıl olacak? Neuralink şirketinin insan beynine yerleştirilen ilk çip haberini paylaşmıştık. Elon Musk, 30 Ocak'ta paylaştığı bir mesajla insan beynine  çip yerleştirildiğini paylaşmış ve hastanın iyileşme sürecinde olduğunu belirtmişti. Üzerinden 1 ay geçen bu operasyon sonrasında hastanın düşünce gücü ile bilgisayar faresini hareket ettirebildiği ile ilgili bir haber paylaşıldı. Beyin çiplerinin geleceğini merak ediyorsanız farklı kaynaklardan derlediğimiz yazı ilginizi çekebilir?
Manşet

Beyin Çiplerinin Geleceği

Beyin çiplerinin geleceği nasıl olacak? Neuralink şirketinin insan beynine yerleştirilen ilk çip haberini paylaşmıştık. Elon Musk, 30 Ocak’ta paylaştığı bir mesajla insan beynine  çip yerleştirildiğini […]

limonata ve rafadan yumurta
Manşet

Limonata ve Rafadan Yumurta

Çetin Altan tarafından ilk kez 1985’te Güneş gazetesinde, sonra 2.6.2003 ve 21.7.2012 tarihlerinde Milliyet’te yayınlanan “Limonata ve Rafadan Yumurta” başlıklı yazısını sizlerle paylaşmak istedik. Usta […]

yetenek acigi
Eğitim

Yetenek Açığı

Dünya çapında işverenler, yetenek açığının üstesinden gelme mücadelesini sürdürüyor. ManpowerGroup’un kapsamlı “Yetenek Açığı Raporu” bu konuda aydınlatıcı veriler sunuyor. Yıllara Göre Yetenek Açığı Manpower Group […]

yokus kosu antrenmani
Koşu

Yokuş Koşu Antrenmanı

Yokuş koşu antrenmanı, koşmayı seviyor olsanız bile, yokuş yukarı koşmayı sevmeme ihtimaliniz yüksektir. Yerçekimine karşı verilen bu mücadele sizi zorlayabilir, ancak koşu yarışlarına, özellikle de […]

yilin sozcugu otantik
Manşet

Yılın Sözcüğü “Otantik”

Yılın Sözcüğü “Otantik”. Merriam-Webster’ın 2023 Yılın Kelimesi olarak seçtiği kelime “authentic” (otantik) oldu. Bu kelime, her zamankinden daha fazla düşündüğümüz, yazdığımız, özlemini çektiğimiz ve yargıladığımız […]

kworks demo day
Manşet

KWORKS Demo Day

🎯Bu yıl Koç Üniversitesi Girişimcilik Merkezi KWORKS bünyesinde yer alan girişimlere mentorluk yapmaya başladım. Birebir çalıştığım girişimlere uzmanlık alanım ve tecrübelerim doğrultusunda destek oluyorum. Bu […]