Geçtiğimiz ay güvenlik firması CrowdStrike’ın kötü bir yazılım güncellemesi yanlışlıkla tüm dünyada dijital kaosa yol açtığında, ilk işaretler Windows bilgisayarların Ölümün Mavi Ekranını göstermesiydi. Web siteleri ve hizmetler çökerken ve insanlar neler olduğunu anlamak için çabalarken, her yerde çelişkili ve yanlış bilgiler vardı. Krizi anlamak için acele eden, uzun süredir Mac güvenliği araştırmacısı olan Patrick Wardle, gerçekleri öğrenmek için bakabileceği tek bir yer olduğunu biliyordu: hatadan etkilenen bilgisayarlardan gelen çökme raporları.
Wardle, WIRED’a “Windows araştırmacısı olmasam da, olup bitenler ilgimi çekiyordu ve bilgi kıtlığı vardı,” diyor. “İnsanlar bunun bir Microsoft sorunu olduğunu söylüyordu, çünkü Windows sistemleri mavi ekran veriyordu ve bir sürü çılgın teori vardı. Ama aslında bunun Microsoft ile hiçbir ilgisi yoktu. Bu yüzden, bana göre nihai gerçeği barındıran çökme raporlarına gittim. Ve eğer oraya bakıyorsanız, CrowdStrike çıkıp bunu söylemeden çok önce altta yatan nedeni belirleyebiliyordunuz.”
Wardle, Perşembe günü Las Vegas’ta düzenlenen Black Hat güvenlik konferansında, çökme raporlarının yeterince kullanılmayan bir araç olduğunu savundu. Bu tür sistem anlık görüntüleri, yazılım geliştiricilerine ve bakımcılarına kodlarındaki olası sorunlara ilişkin içgörü sağlar. Ve Wardle, bunların özellikle hem savunucular hem de saldırganlar için yazılımdaki potansiyel olarak istismar edilebilir güvenlik açıkları hakkında bir bilgi kaynağı olabileceğini vurguluyor.
Wardle konuşmasında, uygulama çöktüğünde yazılımda bulduğu güvenlik açıklarına dair birden fazla örnek sundu ve olası nedeni bulmak için raporu inceledi. Kullanıcılar Windows, macOS ve Linux’ta kendi çökme raporlarını kolayca görüntüleyebilir ve ayrıca Android ve iOS’ta da mevcuttur, ancak mobil işletim sistemlerinde erişimleri daha zor olabilir. Wardle, çökme raporlarından içgörü elde etmek için Assembly olarak bilinen düşük seviyeli makine kodunda yazılmış talimatlar hakkında temel bir anlayışa sahip olmanız gerektiğini belirtiyor, ancak bunun karşılığının buna değdiğini vurguluyor.
Wardle, Black Hat konuşmasında, kendi cihazlarındaki çökme raporlarını inceleyerek keşfettiği birden fazla güvenlik açığını sundu; bunlar arasında analiz aracı YARA’daki ve Apple’ın macOS işletim sisteminin güncel sürümündeki hatalar da vardı. Aslında, Wardle 2018’de bir iOS hatasının uygulamaların Tayvan bayrağı emojisini görüntüledikleri her an çökmesine neden olduğunu keşfettiğinde, tahmin ettiğiniz gibi, çökme raporlarını kullanarak ne olduğunun temeline indi.
“Apple’ın Çin’in Tayvan bayrağını sansürleme talebine boyun eğdiğini kesin olarak ortaya koyduk, ancak sansür kodlarında bir hata vardı – gülünç,” diyor. “Bunu ilk fark eden arkadaşım, ‘Telefonum Çinliler tarafından hackleniyor. Bana her mesaj attığında çöküyor. Yoksa beni mi hackliyorsun?’ dedi. Ben de, ‘Kaba, seni hacklemem. Ayrıca, kaba, seni hacklesem bile telefonunu çökertmezdim.’ dedim. Bu yüzden ne olduğunu görmek için çökme raporlarını çıkardım.”
Wardle, sadece kendi cihazlarından ve arkadaşlarının cihazlarından gelen çökme raporlarına bakarak bu kadar çok güvenlik açığı bulabildiğine göre, yazılım geliştiricilerinin de oraya bakması gerektiğini vurguluyor. Karmaşık suç aktörleri ve iyi finanse edilen devlet destekli bilgisayar korsanları muhtemelen kendi çökme raporlarından fikirler ediniyorlardır. Yıllar boyunca, haber raporları ABD Ulusal Güvenlik Ajansı gibi istihbarat teşkilatlarının çökme kayıtlarını araştırdığını gösterdi. Wardle, çökme raporlarının anormal ve potansiyel olarak şüpheli faaliyetleri ortaya çıkarabildiği için kötü amaçlı yazılımları tespit etmek için de değerli bir bilgi kaynağı olduğunu belirtiyor. Örneğin, kötü şöhretli casus yazılım brokeri NSO Group, genellikle bir cihazı enfekte ettikten hemen sonra çökme raporlarını silmek için kötü amaçlı yazılımlarına mekanizmalar yerleştirirdi. Ve kötü amaçlı yazılımın genellikle hatalı olması çökmeleri daha olası hale getirir ve çökme raporları saldırganlar için kodlarında neyin yanlış gittiğini anlamaları açısından da değerlidir.
Wardle, “Çarpışma raporlarıyla gerçek ortada,” diyor. “Ya da, sanırım, orada.”