güvenlik açıkları
21. yüzyılda, ayrıntılı kavram kanıtları ve açıklamalar, bir güvenlik açığına insanların dikkatini çekmek için yeterli değildir. Akılda kalıcı bir isme, logoya ve Twitter’da paylaşılan internet mimlerine ihtiyacınız var. Her türden araştırmacı, BT gazetecisi, sektör çalışanı ve sempatik kullanıcı, kendi aralarında paylaştığı komik görüntülerle eğleniyor.
Ve aslında genel olarak bakıldığında bu paylaşımlar faydalıdır: Bir internet mimi gördükten sonra, birçok insan yazılanı okur ve bazen güvenlik açığını kapatmak için adım atar — ya da en azından aynı hatayı yapmamak ve bir mime konu olmaktan kaçınmak için ellerinden geleni yapar. Ayrıca, bir olayla ilgili çıkan internet mim sayısını göz önüne alarak sorunun büyüklüğü hakkında fikir edinebiliriz. Siber güvenlikle ilgili en son haberleri öğrenmek için yalnızca internet mimlerine güvenecek olsaydık, 2021’i şu şekilde hatırlardık:
Ocak: WhatsApp gizlilik politikası güncellemesi
2021 yılı, milyonlarca WhatsApp kullanıcısının aniden hizmetin gizlilik politikasında bir güncelleme yapıldığını öğrenmesiyle başladı. Sonuç olarak, kullanıcı sayısında önemli artış yaşanan Telegram ve Signal‘e toplu geçiş oldu. Bu internet miminin WhatsApp’ın yeni gizlilik politikasıyla durumu en iyi şekilde özetlediğini düşünüyoruz:
https://twitter.com/Onka_Shole/status/1348379176437510151
Şubat: FootfallCam 3D’nin (ve ek olarak IoT kameraların) efsanevi güvenlik arızası
Nesnelerin interneti (IoT), cihaz güvenliğinin kötü olmasıyla ünlüdür, ancak her şeyi gördüğünüzü sanıyorken, bazı akıllı cihaz üreticileri tüm beklentileri aşmayı başarır. Twitter’daki bu tweet zinciri her şeyi açıklıyor (utanma konusunda limitlerinizi zorlamamaya dikkat edin):
https://twitter.com/OverSoftNL/status/1357306500386086915
Mart: ProxyLogon güvenlik açığı
Mart ayının başlarında Microsoft, Exchange için sistemdeki birkaç ciddi güvenlik açığını gideren yamalar yayınladı. Bu oldukça yaygın bir durum olsa da şu noktaya dikkat çekmek gerekiyor: Saldırganlar, söylendiğine göre göre halihazırda Ocak ayı veya daha öncesinden beri bazı güvenlik açıklarından aktif olarak yararlanıyordu. Yama yayınlandığında, ABD’deki 30.000’den fazla işletme saldırıya uğramıştı.
https://twitter.com/cyb3rops/status/1369773943188520963
Nisan: Signal’in Cellebrite’i trollemesi
Bilmeyenler için Cellebrite, sözde yetkili makamlar için ekipman üreterek, çalışanların akıllı telefonlara kolay ve rahat bir şekilde girmelerini ve ilgilendikleri bilgileri almalarını sağlayan bir şirket. Bu nedenle şirketin, gizlilik savunucularındaki yeri bir başkadır. 2020’nin sonlarında Cellebrite, ürünlerinin Signal’i desteklemeye başladığını duyurdu. Buna karşılık, Signal ekibi Cellebrite donanımındaki güvenlik açıkları üzerine bir çalışma yayınladı ve bunu yaparken hiç görülmemiş bir tanıtım videosu kullandı:
https://twitter.com/signalapp/status/1384906127360548869
Mayıs: Colonial Pipeline’a düzenlenen fidye yazılımı saldırısı
Akaryakıt aktarımı konusunda ABD’nin en büyük boru hattı sistemi olan Colonial Pipeline’a yapılan bir fidye yazılımı saldırısı, ülkenin güneydoğu kıyısı boyunca benzin ve dizel tedariğinde kesintiye neden oldu. Olay, bu tür işletmelerin nasıl korunacağı konusunda birçok tartışmaya yol açtı ve şirketin yeni bir siber güvenlik yöneticisi arayışına ilişkin ilanı, “Muhtemelen artık bu iş için yeterli bütçeleri var” yorumuyla sosyal medyada viral oldu.
https://twitter.com/HackingLZ/status/1392499874197872646?s=20
Haziran: Kongre üyesi yanlışlıkla e-posta parolasını ve PIN kodunu paylaştı
ABD Temsilciler Meclisi Silahlı Kuvvetler Komitesi üyesi ve özellikle siber güvenlikle ilgilenen alt bir komitenin üyesi olan ABD Kongre Üyesi Mo Brooks, parolaların güvenli bir şekilde saklanmasının yaygınlaştırılması konusuna alışılmadık bir katkı yaptı. Kişisel Twitter hesabından, üzerinde Gmail hesabının şifresi ve bir PIN kodu yazan notun yer aldığı monitörünün göründüğü bir fotoğraf yayınladı. Klasiklerden bahsediyoruz! Tweet birkaç saat paylaşımda kaldı ve viral oldu. Brooks sonunda attığı tweeti silmiş olsa da, artık çok geçti:
https://twitter.com/Josh_Moon/status/1401678401946243073
Temmuz: PrintNightmare güvenlik açığı
Araştırmacılar, Windows Yazdırma Biriktiricisi’ndeki CVE-2021-34527 ve CVE-2021-1675 güvenlik açıklarını kullanarak saldırı ile ilgili bir kavram kanıtı yayınlamak için yanlışlıkla GitHub’ı kullanmış olabilir. Yayınlanan yöntemin saldırganlar tarafından hızla uygulanmasından korkan Microsoft, Salı Güncellemesini bile beklemeden acil bir yama yayınladı. Dahası, eski olan Windows 7 ve Windows Server 2012 için bile yama çıkarıldı. Ancak yamalar sorunu tamamen çözmedi; bazı yazıcılar yama yüklendikten sonra çalışmamaya başladı.
https://twitter.com/techxsigil/status/1419336640162680839
Ağustos: Black Hat ve DEF CON
Ağustos, 2021 standartlarına göre oldukça sessiz geçti. Elbette, birkaç olay internet mimleri ile ölümsüzleştirilse de bunlar arasında belki de en unutulmazı, COVID-19 ile ilgili kısıtlamalar altında bu yıl Las Vegas’a gelemeyen BlackHat ve DEF CON müdavimlerinin mağduriyeti oldu.
https://twitter.com/Djax_Alpha/status/1423741831968342016
Eylül: OMIGOD güvenlik açığı
Microsoft Azure kullanıcıları aniden, bir dizi hizmeti seçtiklerinde, platformun sanal Linux makinesini oluştururken bir Açık Yönetim Altyapısı (Open Management Infrastructure – OMI) aracısı da yüklediğini keşfetti. (a) Aracının uzun süredir bilinen güvenlik açıkları olmasaydı, (b) istemcilere aracı kurulumu hakkında bilgi verilseydi, (c) OMI normal bir otomatik güncelleme sistemine sahip olsaydı ve (d) güvenlik açığından yararlanmak çok kolay olmasaydı bu durum o kadar da korkutucu olmazdı.
https://twitter.com/cyb3rops/status/1438424466661511182
Ekim: Facebook kendini internetten sildi
Yaşanan büyük Facebook kesintisi, Ekim’i gerçekten unutulmaz hale getirdi. Acil müdahale ekiplerinin raporlarına göre, yapılan bir güncelleme, Facebook’un DNS sunucularını internette erişilemez hale getirdi. Sonuç olarak, Facebook ve Messenger, Instagram ve WhatsApp dahil olmak üzere şirketin diğer bir dizi hizmetinin kullanıcıları altı saatten fazla bunlara giriş yapamadı. Kullanıcılar durumdan şikayet etmek için alternatif ağları ve diğer mesajlaşma uygulamalarını kullanırken (bunlara aşırı yüklenirken), internet’te, şirket yöneticilerinin erişim sistemleri Facebook’a bağlı olduğu için sunuculara ulaşamadıkları gibi çılgın söylentiler dolaşmaya başladı.
https://twitter.com/most__wanted___/status/1445066280009027592
Kasım: Sahte Yeşil Geçiş Sertifikaları
Avrupa dijital aşı sertifikalarındaki geçerli sahtecilik Ekim ayının sonunda çok ses getirdi, ancak asıl bomba Kasım ayında, sahte Yeşil Geçiş Sertifikalarının internette satışa sunulmasıyla patladı. Sahte sertifikaların da geçerli olduğu doğrulandı — ve örnek olarak, satıcılar Adolf Hitler, Mickey Mouse ve SpongeBob SquarePants için oluşturdukları sertifikaları gösterdi. Haberlere bakılırsa, sahte Yeşil Geçiş Sertifikalarının yayılması sorunu hala geçerliliği koruyor.
https://twitter.com/astig0spe/status/1456637598991101952
Aralık: Log4Shell güvenlik açığı
Aralık ayının neredeyse tamamı, Apache Log4j kütüphanesinin kritik bir güvenlik açığı olan Log4Shell’i kontrol altına alamadan geçti. Bu kitaplığın Java uygulamalarında yaygın olarak kullanılması, milyonlarca programı ve cihazı savunmasız hale getirdi. Apache Vakfı birkaç yama yayınladı ve araştırmacılar karşı önlemleri birkaç kez aşmanın yollarını buldular. Yama ilk yayınlandığı günlerde, botnet’ler internet’teki savunmasız programları taramaya başladı ve fidye yazılımı yazan saldırganlar bu güvenlik açığından yararlandı. Log4Shell temalı o kadar çok başarılı internet mimi ortaya çıktı ki, birileri toplu halde bu mimlerin yer aldığı bir internet sitesi bile oluşturdu.
https://twitter.com/secbro1/status/1469328495847346177
2022 yılının çok daha sakin geçmesini umalım. Siz değerli okuyucularımıza mutlu bir yıl diliyoruz!
