Orijinal kaynak kodu yeniden dağıtım ve uyarlama için kullanıma sunulan yazılım olan açık kaynaklı yazılım (OSS), son yıllarda o kadar popüler hale geldi ki, artık yazılım sistemlerini çalıştıran hemen hemen her kuruluşta bulunabiliyor. Popülaritesindeki artış büyük ölçüde işbirlikçi, kolay erişilebilir doğasına bağlanıyor. Yazılım tasarımcıları, OSS’yi kullanarak, yenilerini sıfırdan oluşturmak yerine mevcut öğeleri dahil ederek önemli geliştirme saatlerinden tasarruf edebilirler. Ancak her yerde benimsenmesi teknoloji dünyasına yalnızca olumlu sonuçlar getirmedi. Beraberinde getirdiği temel zorluklardan biri de siber güvenlikle ilgilidir.
OSS yanılmaz değil
OSS’nin yaygın kullanımına rağmen, yaygın olarak güvenilen ve benimsenen OSS çözümleri bile entegre edildiğinde son kullanıcıları ve kuruluşları önemli güvenlik açıklarına maruz bırakabilir. Örneğin, birçok işletme tarafından durum raporları ve hatalar gibi olayları kaydetmek için kullanılan popüler bir kayıt aracı olan Log4j’yi ele alalım. Sayısız ticari ürüne uygulanması, bazı açık kaynak teknolojilerinin zayıf noktaları açığa çıktığında, bu durumun ‘Log4shell’ olarak bilinen bir durum olduğunu ortaya çıkardı. Bu sıfır gün güvenlik açığı, tehdit aktörlerinin kötü amaçlı kod kullanarak sistemleri tehlikeye atmasına ve fark edilmeden kontrolü ele geçirmesine olanak tanıdı. O zamanlar etkisi “muazzam” olarak tanımlanmıştı ve olay, kuruluşların güvendikleri yazılım paketlerini gerçekten nasıl anlayıp yönetebilecekleri gibi bazı önemli endişeleri gündeme getirmişti.
Kaynağa saldırmak
OSS paketleriyle ilgili temel sorunlardan biri, önemli miktarda ‘bilinmeyen’ ile birlikte gelmeleridir. Son kullanıcılar, özel bir paket oluşturmak yerine yerleşik OSS çözümlerinden yararlanmayı tercih ederek, bu açık kaynak entegrasyonlarıyla ilişkili riskler söz konusu olduğunda karanlıkta kalma riskiyle karşı karşıya kalır.
Ek olarak, geliştiricilerin bu paketleri aldığı birincil kaynaklar olan genel OSS depoları, genellikle yeni üçüncü taraf paketleriyle ve günlük olarak sık sık paket güncellemeleriyle doludur. Bu depolar hızlı bir gelişme olanağı sunarken, sunulan büyük hacim, güvenlik incelemesini büyük bir görev haline getiriyor. Sonuç olarak, buğdayı samandan ayırma sorumluluğu, yapılandırılmış, zorunlu bir sistem tarafından halledilmek yerine ağırlıklı olarak güvenlik araştırmacılarına ve firmalara düşüyor.
Tehdit aktörleri, meşru paketleri kötü amaçlı eklemelerle manipüle ederek bu sorunlardan yararlanmaya çalışıyorlar; daha sonra bunları benzer adlar altında halka açık depolara yeniden yükleyip kurbanlarının bunları indirmesini bekliyorlar. Bilgisayar korsanlarının kullandığı başka bir yöntem de, sitelere yüklemek için yeni bir şey geliştirmek ve yararlı açık kaynak paketleri adı altında ikincil kötü amaçlı kodlar eklemektir. Bu siber suçlulardan bazıları yaklaşımlarını o kadar geliştirdi ki, sahte sosyal medya profilleri oluşturdular ve kendilerini daha ikna edici kişiler sunmak için güvenilir geliştiriciler olarak konumlandırdılar.
OSS paketlerindeki çok sayıda kötü amaçlı güvenlik sorunu, ağırlıklı olarak daha geniş kitlelere hitap ettiği için işaretlenmiş olsa da, bu güvenlik açıkları ortaya çıktığında genellikle izole edilemeyecek kadar yerleşik hale gelirler.
Kim risk altında?
Açık kaynak teknolojileriyle ilgili sorun, bunların çok yaygın hale gelmesi ve hiçbir endüstrinin OSS saldırısına karşı bağışık olmamasıdır. Ancak bankacılık sektörü gibi standart uygulamalara dayanan sektörler bu tür saldırılara karşı özellikle hassastır. Burada bilgisayar korsanları bir bankanın çalıştıracağı yazılımı neredeyse tahmin edebiliyor ve buna göre kötü amaçlı kod bulaştırmaya çalışıyor. Saldırganlar ayrıca yaklaşımlarında son derece pragmatik olabilir ve daha öngörülemeyen altyapılarla daha yüksek hacimli rastgele hedeflere saldırmak yerine verimlilik ve güvenilirlik açısından daha fazlasını sağlayan taktiklerin potansiyel geri dönüşünü değerlendireceklerdir.
Ancak daha uzağa bakıldığında, hiçbir endüstrinin zarar görmez olmadığı görülüyor; özellikle de geliştirme ekosisteminin açık kaynak teknolojilerinin kullanımını optimize etmeye yönelik olması nedeniyle. Özellikle modern çalışma ortamları genellikle önemli miktarda ‘kullanıma hazır’ yazılım kullanılarak çalışır; çoğu yerleşik bir tür OSS paketine sahiptir. Geliştiricilerin toplulukları genelinde paketleri paylaşması yeni bir kavram değildir – onlarca yıldır devam etmektedir – ancak günümüzün sorunu, bu ekosistemlere ilişkin dış farkındalığın artması ve böylece saldırganların dikkatlerini, uzun vadede oluşturulan topluluk güveninden nasıl yararlanabileceklerine yöneltmesidir.
Tehdidi hafifletmek
Log4shell olayının ardından, zararlı yazılım entegrasyonlarına ilişkin farkındalık eksikliği, saldırının etkisini daha da kötüleştirdi. Gelecekteki saldırılara karşı korunmak için kuruluşların, konuşlandırılan tüm yazılımlar hakkında kapsamlı bir anlayışa sahip olmaları gerekir. Buna yönelik önemli bir adım, kuruluşların OSS entegrasyonlarının ayrıntılı belgelerini ve hızlı güvenlik açığı değerlendirmeleri için kolayca erişilebilen bir yazılım dizinini tutmasıdır.
Kuruluşlar ayrıca yazılım içindeki paketleri analiz etme ve tanımlama yeteneğine sahip araçları da kullanmalıdır. Sonuçta OSS saldırılarına karşı koruma, artan farkındalık ve bilgiye bağlıdır. OSS’nin son derece faydalı olduğu kanıtlanmış olsa da, yaygın kullanımı ve kabulü nedeniyle güvenlik açıkları daha da artıyor. Bu nedenle, artan bilgi ve dikkat ile birlikte proaktif bir yaklaşım, teknoloji endüstrisinin gelişen bu sektöründe en iyi savunmadır.
