Log4j Zafiyeti Hala Aktif

logj zafiyeti hala aktif

BT çalışanlarının Aralık ayı tatil planları, geçen yıl yaygın olarak kullanılan Log4j aracındaki büyük bir açığın ortaya çıkmasının ardından altüst olmuştu. Güvenlik açığının keşfedilmesi, açığı kapatmak için aylarca süren hummalı bir faaliyete yol açtı, ancak bir yıl sonra açık gündemden düştü. Güvenlik uzmanları, tehdidin ortadan kalkmadığını ve sektörün dikkatli olmaması halinde yeniden canlanabileceğini söylüyor.

Log4Shell zafiyeti, Aralık 2021’in başlarında ilk kez ortaya çıktığında, şimdiye kadarki en ciddi güvenlik açıklarından biri olarak tanımlanmıştı. Açık, Java yazılımlarında hataları takip etmeye ve performans sorunlarını teşhis etmeye yardımcı olmak için tasarlanmış popüler bir günlük tutma aracını hedef alıyordu. Geniş kullanım alanı sayesinde Log4j binlerce yazılım paketine yerleştirilmiş olup, Amazon Web Services ve Minecraft video oyunu da dahil olmak üzere çok çeşitli ticari uygulamalarda kullanılmıştır. Dahası, açık, saldırganların savunmasız sistemlerin kontrolünü tamamen ele geçirmesini nispeten kolaylaştırdı.

Bu da açıkları kapatmak için çılgınca bir çabaya yol açtı. Açık kaynaklı yazılımı destekleyen Apache Yazılım Vakfı hızla bir yama yayınladı ve kurumlar aylarca sistemlerini tarayıp yazılımlarını güncelledi. Ancak bir yıldan uzun bir süre sonra, siber güvenlik firması Tenable, kuruluşların yüzde 72’sinin Log4Shell’e karşı savunmasız olduğunu söylüyor. Tenable’da teknik direktör ve güvenlik stratejisti olan Bernard Montel, endişe verici bir şekilde, hatayı düzelten çok sayıda kuruluşun o zamandan beri açığı barındıran yazılımlar yükleyerek hatayı sistemlerine yeniden bulaştırdığını belirtiyor.

2022 Aralık ayında sadece bir günde Log4j açığının keşfedilmesinden bu yana en yüksek günlük saldırı gerçekleşti.

“Yaklaşık bir yıl önce bunu düzeltmek için bir plan geliştirdiklerinde, bunu tamamladıklarını düşündüler” diyor. “Temizlediler, tespit ettiler, taradılar, yazılımlarını yamaladılar ve onlar için yapmaları gerekeni yaptılar. Sadece saldırı yüzeyinin hareket halinde olduğu gerçeğini unuttular.”

Tenable’ın tahminlerine göre geçtiğimiz Aralık ayında her on makineden birinde görülen istismara açık makinelerin oranı, bu Ekim ayı itibariyle sadece yüzde 2,5’e düşmüştür. Ancak bunların üçte biri zaten tamamen yamalanmıştı ve o zamandan beri Log4Shell ile yeniden enfekte oldular. Montel, sorunun bir kısmının Log4j’nin yaygın olarak kullanılan pek çok yazılım kütüphanesinin derinliklerine gömülmüş olması olduğunu söylüyor. Yardımcı programın belirli bir araca dahil olup olmadığı genellikle net değildir ve dahil olsa bile, çoğu geliştirici, özellikle hızlı bir şekilde kod üretme baskısı altında oldukları göz önüne alındığında, en güncel sürüm olup olmadığını kontrol etmek için yeterince güvenlik bilincine sahip değildir, diye ekliyor. Güvenlik firması Sonatype’ın bir yıl önce yaptığı araştırma, Log4j indirmelerinin yüzde 65’inin aracın açığa sahip sürümlerine ait olduğunu ortaya koydu.

Montel ayrıca kurumsal düzeyde, ilk aylarda güvenlik açığı ile başa çıkmak için yapılan büyük baskıdan sonra, insanların sorunu çözdüklerini düşündüklerinde odaklarını kaybetmelerinin neredeyse kaçınılmaz olduğunu düşünüyor. Montel, Covid-19 salgını ile açık benzerlikler olduğunu düşünüyor; karantina gibi sıkı önlemler virüsü hızla kontrol altına almış, ancak işler tekrar rahatladığında virüs yeniden ortaya çıkmıştı. “Bu [Log4j] geri geliyor,” diyor Montel. “Hala orada bir yerde, o yüzden dikkatli olun.”

ABD Ulusal Savunma Bakanlığı’na bağlı Siber Güvenlik İnceleme Kurulu’nun Temmuz ayında yayınladığı bir raporda, bu hatanın “endemik” hale geldiği ve on yıllarca olmasa bile yıllarca sorun olmaya devam edeceği değerlendirmesinde bulunuldu. Güvenlik şirketi Imperva tarafından toplanan veriler, 2022’nin ilk birkaç ayından bu yana hatadan yararlanan saldırıların önemli ölçüde azalmasına rağmen, Kasım ayından bu yana sürekli bir artış olduğunu ve 2022 Aralık ayının 3. gününde, güvenlik açığının keşfedilmesinden bu yana en yüksek günlük saldırıların görüldüğünü göstermiştir.

Potansiyel bir çözüm: kuruluşlar kullandıkları tüm kodlar için bir Yazılım Bileşenleri Listesi talep ederek başlayabilirler.

Imperva bu saldırıların yaklaşık yüzde 7’sinin başarılı olduğunu tahmin ediyor. Ancak Mart ayında Çinli devlet destekli bilgisayar korsanları tarafından yapılanlar ve Kasım ayında bir ABD federal kurumuna yapılan İran saldırısı da dahil olmak üzere bazı yüksek profilli saldırılar olmasına rağmen, açık şu ana kadar geçen yıl yapılan korkunç tahminler kadar gerçekleşmedi. Imperva’da tehdit araştırma analisti olan Gabi Stapel, “Çok sayıda şirket etkilenmiş olsa da, büyük ölçüde beklenenden daha az oldu” diyor. Yine de birçok şirketin, üzerinde çok az kontrol ya da görünürlüğe sahip oldukları üçüncü taraf ve açık kaynak kodlarına ne kadar bağımlı olduğu ortaya çıktı. Stapel, “Tarihsel olarak şirketler, yakın tedarikçi gruplarının ve güvendikleri kritik yazılımların getirdiği risklere odaklandılar” diyor. “Kuruluşların tedarik zincirinin tüm parçalarını içeren bir tehdit yönetim modeline geçmeleri gerekiyor.”

Siber Güvenlik ve Altyapı Güvenliği Ajansı’nda (CISA) siber güvenlikten sorumlu müdür yardımcısı Eric Goldstein, Log4Shell’e yönelik müdahalenin maliyeti ve karmaşıklığının, yazılım tedarik zincirinin güvenliğinin sağlanması ve şeffaflığın artırılması konularına daha fazla odaklanılmasına öncülük ettiğini söylüyor. “Geçtiğimiz yıl yazılım bağımlılıklarını daha iyi anlamaya yardımcı olmak için bir dizi yeni araç, şirket ve ürün ortaya çıktı ve Log4j genellikle yenilik ve benimseme için birincil motivasyon olarak kullanılıyor” diyor.

CISA’nın teşvik ettiği potansiyel çözümlerden biri de Yazılım Bileşenleri Listesi (Software Bill of Materials – SBOM). Bu, bir yazılım uygulamasını oluşturan tüm bileşenlerin bir envanteridir ve geliştiricilerin potansiyel olarak riskli kod parçalarına olan bağımlılıklarını takip etmelerini kolaylaştırmak için tasarlanmıştır. ABD hükümeti, bunların yakında federal kurumlara teslim edilen yazılımlar için bir gereklilik haline gelebileceğinin sinyalini verdi.

Açık Kaynak Güvenlik Vakfı (OSSF) genel müdürü Brian Behlendorf, yaklaşımın gerçekten etkili olabilmesi için daha da ileriye taşınması gerektiğini, böylece geliştiricilerin uygulamaları oluşturmak için bir araya getirdikleri orijinal açık kaynaklı yazılım paketleri veya kütüphanelerin bile kendi SBOM’ları ile birlikte geleceğini söylüyor. Behlendorf’a göre bunu yapmak için bu süreci basitleştiren ve mevcut yazılım oluşturma araçlarına dahil eden yeni araçlara ihtiyaç duyulabilir çünkü “geliştiricilerin fazladan çaba harcamasını sağlamak zor olabilir”.

Sektörün bir bütün olarak daha iyi koordine olması ve güvendiği açık kaynak araçlarının güvenliğini sağlama konusunda daha proaktif olması gerektiğini söylüyor. Behlendorf, her bir projenin kod incelemeleri gibi şeyleri yapacak mali gücü ya da insan gücü olmadığını söylüyor. “Ekosistemin elde edeceği değer ile bu tür kaynakları bir araya getirme becerisi arasında bir kopukluk var” diyor. “İhtiyacımız olan şey, bu tür şeylerin daha iyi incelenmesine yönelik talebi bir araya getirebilecek ve kaynakları hedefe yönelik, kolay ulaşılabilir konulara kanalize edebilecek kurumlar.”

Bu nedenle Mayıs ayında OSSF ve Linux Vakfı, az miktarda yatırımın Log4Shell gibi güvenlik açıkları riskini önemli ölçüde azaltabileceği on alanı vurgulayan bir Açık Kaynak Yazılım Güvenliği Seferberlik Planı açıkladı. Bunlar arasında geliştiriciler için daha iyi güvenlik eğitimi, yetersiz kaynaklara sahip açık kaynak ekiplerinin güvenlik açıklarına tepki vermesine yardımcı olmak için bir OSSF olay müdahale ekibinin kurulması ve en kritik 200 açık kaynak yazılım bileşeninin yıllık kod incelemeleri gibi şeyler yer alıyor.

Behlendorf, bunun hayata geçirilmesi için hem endüstri hem de hükümetten önemli miktarda fon sağlanması gerekeceğini söylüyor. Ancak bunun akıllıca bir yatırım olacağını ve eğer bu tür bir koordinasyon olmazsa, bir sonraki Log4j’nin ortaya çıkmasının uzun sürmeyeceğini söylüyor.

Kaynak:

export

Global Altyapı Ortaklarından Yeni Yapay Zeka Ortaklığı: Veri Merkezleri ve Güç Altyapısına Yatırım

Global Altyapı Ortaklarından Yeni Yapay Zeka Ortaklığı. Veri Merkezleri ve Güç Altyapısına Yatırım. Global Infrastructure Partners (GIP), BlackRock, Microsoft ve MGX, yapay zeka (AI) teknolojilerine […]

Müzik ve Hafıza
Bilim

Müzik ve Hafıza

Georgia Institute of Technology tarafından gerçekleştirilen “Müzik ve Hafıza” konulu araştırma, müziğin bilişsel süreçler ve hafıza üzerindeki etkilerine odaklanan önemli bulgular sunuyor. Bu araştırma, özellikle […]

Bilim

Magnon-Fonon Fermi Rezonansı

Araştırma ekipleri bir antiferromanyette magnon-fonon Fermi rezonansını keşfetti. Yakında, veri depolama merkezlerinin dünya enerji üretiminin neredeyse %10’unu tüketmesi bekleniyor. Bu artış, diğer şeylerin yanı sıra, […]

export

Jeodezik Kubbeler

Jeodezik kubbeler, mimari ve mühendislik alanlarında dikkat çeken, işlevsel ve estetik yapılar olarak bilinir. Bu yapılar, ilk olarak 20. yüzyılın başlarında ortaya çıkmış ve zamanla […]

dunya nufusunda zirve
Manşet

Dünya Nüfusunda Zirve

Dünya Nüfusunda Zirve: Gelecekteki Tahminler ve Nedenleri. Son yıllarda dünya nüfusunun geleceği ile ilgili çeşitli tahminler ve senaryolar öne sürülmüştür. Birleşmiş Milletler’in (BM) son raporları, […]

akilli toprak
Bilim

Akıllı Toprak

Akıllık Toprak: Sürdürülebilir Tarım İçin Kendi Kendini Sulayan ve Gübreleyen Yüzeyler. Günümüzde tarım sektörü, artan nüfus ve iklim değişikliği gibi faktörlerle karşı karşıya kalırken, sürdürülebilir […]

nato inovasyon fonu
Manşet

NATO Inovasyon Fonu

Son yıllarda Avrupa’da savunma teknolojisi girişimlerine yapılan yatırımlar hız kazandı. NATO’nun 1 milyar euroluk girişim sermayesi fonunun başındaki Andrea Traversone, Avrupa’nın ABD’deki büyük teknoloji şirketlerine […]

kusaklararasi yoksullasma
Manşet

Kuşaklararası Yoksullaşma

Kuşaklar arası yoksullaşma, ekonomik eşitsizlik ve fırsat adaletsizliği gibi konular, günümüz toplumlarının en önemli sorunlarından biri haline gelmiştir. Baby boomer kuşağından başlayarak, X kuşağı, Y […]

maf antrenman yontemi
Koşu

MAF Antrenman Yöntemi

MAF (Maximum Aerobic Function), Dr. Philip Maffetone tarafından geliştirilen bir antrenman yöntemidir. Bu yöntem, aerobik kapasiteyi maksimize ederek sporcuların daha verimli ve sağlıklı bir şekilde […]

Basketbolda anda olmak, en yüksek performansa yol açan zihinsel bir durumdur. Tabii ki sadece Basketbolda değil, hem takım hem de bireysel tüm sporlarda, aslında odaklanmak gereken her ne iş yapıyorsanız Anda olduğunuzda, tamamen kilitlenirsiniz ve dikkatinizi dağıtan şeyleri engelleyebilirsiniz, bu da her ne yapıyorsanız en iyi şekilde yapmanıza yardımcı olur. Bu yazıda size öncelikle basketbolda antrenmanlarda ve maçlarda anda nasıl daha fazla kalabileceğinizle ilgili bilgiler bulacaksınız.
Manşet

Basketbolda Anda Olmak

Basketbolda anda olmak, en yüksek performansa yol açan zihinsel bir durumdur. Tabii ki sadece Basketbolda değil, hem takım hem de bireysel tüm sporlarda, aslında odaklanmak […]

Elon Musk tarafından kurulan Neuralink beyin implantı teknolojisini ilk hastasına uygulaması ile ilgili bir haber yayınlamıştık.  Elon Musk'ın beyin-bilgisayar arayüzü firması Neuralink, ilk hastası Noland Arbaugh'un düşünceleriyle bir bilgisayar imlecini kontrol ettiği bir video yayınladı. Elon Musk tarafından kurulan beyin-bilgisayar arayüzü şirketi Neuralink, firmanın implantının "hayatını değiştirdiğini" söyleyen ilk hastasının kimliğini açıkladı. Ancak uzmanlar, Nueralink'in mevcut araştırma çabalarını kopyalamanın ötesinde bir şey yapıp yapmadığının henüz net olmadığını söylüyor.
Manşet

Neuralink

Elon Musk tarafından kurulan Neuralink beyin implantı teknolojisini ilk hastasına uygulaması ile ilgili bir haber yayınlamıştık.  Elon Musk’ın beyin-bilgisayar arayüzü firması Neuralink, ilk hastası Noland […]

sihirli dovme murekkebi
Bilim

Sihirli Dövme Mürekkebi

HYPRSKN Magic Ink (Sihirli Mürekkep), dünyanın ilk yeniden yazılabilir, silinebilir ve yeniden programlanabilir dövme mürekkebidir. Bu sihirli mürekkep, dövme sektörünü yeniden tanımlayarak bireylerin vücut sanatı […]

aralikli oruc
Bilim

Aralıklı Oruç

Aralıklı Oruç olarakda bilinen zaman kısıtlı beslenme ile ilgili Amerika Kalp Derneğinin 18-21 Mart 2024 tarihinde Chicago’da düzenlenen “Epidemiyoloji ve Önleme|Yaşam Tarzı ve Kardiyometabolik Bilimsel […]

Yavaş Koşu kavramı Japonya'dan dünyaya yayılan ve uzun, sağlıklı bir yaşam sürmenin sırrı olarak kabul edilen, düşük tempoda yapılan bir koşu türüdür. Bu egzersiz formu, vücuda aşırı yük bindirmeden, kalp sağlığını, metabolizmayı destekleyerek ve zihinsel stresi azaltarak genel sağlığı iyileştirmeye odaklanır. Bu koşu türü Japonya'da Dr. Hiroaki Tanaka tarafından popüler hale getirilmiştir. Dr. Tanaka, bu egzersiz metodunun kalp atış hızını aşırı yükseltmeden, sağlıklı ve etkili bir şekilde fiziksel kondisyonu artırabileceğini keşfetti.
Koşu

Yavaş Koşu

Yavaş Koşu kavramı Japonya’dan dünyaya yayılan ve uzun, sağlıklı bir yaşam sürmenin sırrı olarak kabul edilen, düşük tempoda yapılan bir koşu türüdür. Bu egzersiz formu, […]

Beyin çiplerinin geleceği nasıl olacak? Neuralink şirketinin insan beynine yerleştirilen ilk çip haberini paylaşmıştık. Elon Musk, 30 Ocak'ta paylaştığı bir mesajla insan beynine  çip yerleştirildiğini paylaşmış ve hastanın iyileşme sürecinde olduğunu belirtmişti. Üzerinden 1 ay geçen bu operasyon sonrasında hastanın düşünce gücü ile bilgisayar faresini hareket ettirebildiği ile ilgili bir haber paylaşıldı. Beyin çiplerinin geleceğini merak ediyorsanız farklı kaynaklardan derlediğimiz yazı ilginizi çekebilir?
Manşet

Beyin Çiplerinin Geleceği

Beyin çiplerinin geleceği nasıl olacak? Neuralink şirketinin insan beynine yerleştirilen ilk çip haberini paylaşmıştık. Elon Musk, 30 Ocak’ta paylaştığı bir mesajla insan beynine  çip yerleştirildiğini […]

limonata ve rafadan yumurta
Manşet

Limonata ve Rafadan Yumurta

Çetin Altan tarafından ilk kez 1985’te Güneş gazetesinde, sonra 2.6.2003 ve 21.7.2012 tarihlerinde Milliyet’te yayınlanan “Limonata ve Rafadan Yumurta” başlıklı yazısını sizlerle paylaşmak istedik. Usta […]

yetenek acigi
Eğitim

Yetenek Açığı

Dünya çapında işverenler, yetenek açığının üstesinden gelme mücadelesini sürdürüyor. ManpowerGroup’un kapsamlı “Yetenek Açığı Raporu” bu konuda aydınlatıcı veriler sunuyor. Yıllara Göre Yetenek Açığı Manpower Group […]

yokus kosu antrenmani
Koşu

Yokuş Koşu Antrenmanı

Yokuş koşu antrenmanı, koşmayı seviyor olsanız bile, yokuş yukarı koşmayı sevmeme ihtimaliniz yüksektir. Yerçekimine karşı verilen bu mücadele sizi zorlayabilir, ancak koşu yarışlarına, özellikle de […]

yilin sozcugu otantik
Manşet

Yılın Sözcüğü “Otantik”

Yılın Sözcüğü “Otantik”. Merriam-Webster’ın 2023 Yılın Kelimesi olarak seçtiği kelime “authentic” (otantik) oldu. Bu kelime, her zamankinden daha fazla düşündüğümüz, yazdığımız, özlemini çektiğimiz ve yargıladığımız […]

kworks demo day
Manşet

KWORKS Demo Day

🎯Bu yıl Koç Üniversitesi Girişimcilik Merkezi KWORKS bünyesinde yer alan girişimlere mentorluk yapmaya başladım. Birebir çalıştığım girişimlere uzmanlık alanım ve tecrübelerim doğrultusunda destek oluyorum. Bu […]