Nisan 2014’te araştırmacılar bir şeyi ortaya çıkardılar. OpenSSL’de ciddi güvenlik açığı. Pek çok ciddi güvenlik açığı var ancak bu özellikle kötüydü; güvenlik uzmanı Bruce Schneier bunu “felaket” olarak nitelendirdi. Schneier blogunda şunları yazdı: “1’den 10’a kadar bir ölçekte bu 11’dir.” Tor Projesi benzer şekilde sert bir uyarı yayınladı“İnternette güçlü bir anonimliğe veya gizliliğe ihtiyacınız varsa, işler sakinleşene kadar önümüzdeki birkaç gün boyunca İnternet’ten tamamen uzak durmak isteyebilirsiniz.”
Güvenlik açığının resmi adı CVE-2014-0160ancak çoğu kişi adını biliyor: Hearbleed.
Güvenlik açığını Google’dan Neel Mehta ile birlikte keşfeden Fin şirketi Codenomicon, sorunun büyüklüğünü tahmin etti ve kusura dikkat çekmek için bir isim vermeye karar verdi. Codenomicon bir logo tasarladı ve lansmanını yaptı. İnternet sitesi İnsanların sorunu hızlı bir şekilde çözmelerine yardımcı olacak kaynaklarla.
O zamanlar Codenomicon’un CEO’su olan David Chartier (Codenomicon daha sonra Synopsys tarafından satın alındı), “Bu oldukça ciddi bir güvenlik açığıydı ve bu nedenle bunun etrafında bilgi içeren bir kampanya yürütmenin iyi bir fikir olacağını düşündük” diyor. “Bir isim koyarsak herkesin hayatını kolaylaştıracağını düşündük.”
Bay OssiŞirketin güvenlik uzmanlarından biri olan Heartbleed adını, kalp atışıTLS/SSL protokolünün bir öğesidir. Kalp atışı, aralarında veri aktarımı olmasa bile iki bilgisayarın birbirine bağlı olduğunu doğrulamasını sağlar. İlk bilgisayar bir mesaj gönderir. kalp atışı mesajıveya şifrelenmiş bir veri paketini düzenli aralıklarla diğer bilgisayara gönderir ve ikinci bilgisayar bağlantıyı onaylamak için aynı paketi döndürür. Ancak Heartbleed kusuru, saldırganların sunucu belleğini okumasına ve ek bilgi göndermesine veya Chartier’in ifadesiyle “verilerin akmasına” olanak tanıyor. Bu şekilde saldırganlar şifreler ve özel anahtarlar gibi hassas bilgileri ele geçirebilir.
Etkisi oldukça yaygındı Birçok şirket Amazon Web Services, Dropbox, GitHub, Google, Instagram, LassPass, Minecraft, OKCupid, Netflix, Pinterest, Reddit, SoundCloud, Tumblr, Wikipedia, Yahoo ve Youtube’un yer aldığı bir liste, sunucularının kapatıldığını duyurdu. savunmasız ve kullanıcılara şifrelerini güncellemeleri önerilir.
Logo tasarımcısı Leena Snidate, “Bu büyük güvenlik açığının çarpıcı bir işarete ihtiyacı vardı” dedi. Hızlı Şirket o zaman. “Renk seçimi benim için hemen oldu; koyu kan kırmızısı.”
Markalı Güvenlik Açıkları Trendi
Heartbleed vakasında, kusurun bir isim ve logo ile markalanması medyanın ilgisinin çekilmesine yardımcı oldu ve konuyla ilgili farkındalık yaratmada başarılı oldu. A Pew Araştırma Merkezi Nisan 2014’te (güvenlik açığının açıklanmasından sonraki birkaç hafta içinde) yapılan anket, internet kullanıcılarının %64’ünün hatanın farkında olduğunu, kullanıcıların %39’unun çevrimiçi hesaplarını güvence altına almak için şifre değiştirmek gibi eylemlerde bulunduğunu ve %29’unun kişisel bilgilerinin çalındığını hissettiğini gösterdi. hata nedeniyle riske girmek.
Bazı kuruluşlar sistemlerine hızlı bir şekilde yama uygularken bazılarının yanıt vermesi daha uzun sürdü. Chartier’e göre on yıl sonra bile dünya çapında Heartbleed OpenSSL çalıştıran yaklaşık 60.000 sunucu var. Şirketlerin saldırı yüzeylerini daha iyi tanımalarını ve kullandıkları açık kaynak araçlarını kapsamlı bir şekilde test etmelerini öneriyor.
Heartbleed, bir isim ve logoyla markalanan ilk güvenlik açıkları arasında yer aldı; bu uygulama daha sonra diğer araştırmacılar tarafından diğer güvenlik açıkları için de benimsendi. Bazıları Codenomicon’un ciddi tehditleri vurgulama stratejisini takip ederken, diğerleri daha az kritik, sıradan hatalara akılda kalıcı isimler uyguladı. Bazı isimler düpedüz aptalcaydı, mesela KANİŞ, ÇATLAK, Kötü kilit, Thrangrycat (aynı zamanda üç kızgın kedi emojisi kullanılarak adlandırılmıştır) ve Domuz eti patlaması.
Markalı güvenlik açıkları eğilimi, bilgi güvenliği topluluğundaki birçok kişinin kaşlarını kaldırmasına neden oldu. İçinde 2015’teki bir 1 Nisan Şaka Günü blog yazısıTrend Micro’nun Tehdit Araştırması başkan yardımcısı Brian Gorenc, “Artık Çirkin Böcek Yok” hareketi olarak adlandırılan hareketin bir parçası olarak “böceklerinize özel bir logo oluşturmak için iki saatlik grafik tasarım çalışması” teklif etti.
Bazen hatanın adı orantısız bir şekilde abartılıyordu. “[N]Bazı araştırmacıların düşünmenizi istediğine rağmen, adı geçen her güvenlik açığı ciddi bir güvenlik açığıdır.” yazdı Carnegie Mellon’un Yazılım Mühendisliği Enstitüsü blogu için Leigh Metcalf. “Sansasyonel isimler genellikle kaşiflerin çalışmaları için daha fazla görünürlük yaratma aracıdır.”
Güvenlik açıkları için dramatik isimler seçme eğilimi, gerekli dikkat ile aşırı abartı arasındaki denge konusunda tartışmalara yol açtı. WithSecure Baş Araştırma Görevlisi Mikko Hyppönen, “Markalaşma konusunda aşırıya kaçabilirsiniz” diyor. “Pazarlama departmanları bunu istese de her sıradan güvenlik açığının bir web sitesine ve logoya ihtiyacı yoktur.”
Pazarlama ve Güvenlik Arasındaki Denge
Bir güvenlik açığını adlandırıp adlandırmayacağına karar vermek zor bir karardır. Trend Micro’nun Sıfır Gün Girişimi (ZDI) Tehdit Farkındalığı başkanı Dustin Childs, “Her Heartbleed’e karşılık, insanların düşündüğü kadar ciddi olmayan bir grup hata vardır” diyor. “Ne isim verdiğimize ve onu nasıl tanıttığımıza dikkat etmemiz gerekiyor. Toplum için iyi şeyler yapmaktan kişisel kazanç için bir şeyin aşırı tanıtımını yapmaya geçmek çok kolaydır.”
Childs, yaygın olarak kullanılan veya birden fazla ürünü etkileyen güvenlik açıklarının isimlendirilmeyi hak ettiğini savunuyor. Ancak belirli sistemleri etkileyen hataların yalnızca CVE’leri tarafından belirtilmesi gerektiğine inanıyor. Childs, “Windows’u etkileyen tek bir hatanın adlandırılması gerektiğini düşünmüyorum. Mac OS’yi etkileyen tek bir hatanın adlandırılması gerektiğini düşünmüyorum” diyor.
Childs, “ZDI hatalarının adını vermiyor çünkü bu, kuruluşun aşmak istediği bir çizgi değil, “bazen bu çizginin aşılması gerektiği açık olsa da” diyor.
Childs da Heartbleend veya Log4j gibi ciddi güvenlik açıkları durumunda CVE yerine ad kullanmanın fark yaratacağı konusunda hemfikir. “CVE’ler dokümantasyon açısından çok faydalıdır” diyor. “Fakat üst düzey yöneticinizle, karar veren ancak teknik bilgisi olmayan kişilerle konuştuğunuzda, bir şeye hitap edecek bir isme sahip olmak daha kolaydır. Bu, konuşmayı daha basit hale getirir.”
Güvenlik açıklarını adlandırmak da sorun yaratır; özellikle de ad, hatanın çok zararsız veya çok korkutucu görünmesine neden oluyorsa. Yale Hukuk Fakültesi’nde siber güvenlik eğitmeni ve Yale Gizlilik Laboratuvarı’nın kurucusu Sean O’Brien, “Hiçbir sistem yöneticisi gereksiz yere veya bir güvenlik açığının kapsamını ve güvenlik açıklarından yararlanma seçeneklerini anlamadan yama yapmayı sevmez” diyor.
Bu nedenle, güvenlik açıklarını yamamaktan sorumlu sistem yöneticileri ve güvenlik uzmanları, önceliklerini dikkatli bir şekilde değerlendirmeli ve bir hatayı yalnızca kötü bir isme sahip olduğu ve haberlerde yer aldığı için yamalamak için acele etme tuzağına düşmemelidir.
O’Brien, kuruluşların bir güvenlik açığı için isim seçerken, tehdidin ciddiyetini küçümseyebilecek ve hatta insanları kızdırabilecek mizaha dikkat etmesi gerektiğini ekliyor. “Bu, özellikle bir tehdidin kökenine ilişkin önyargının ismine yansıdığı durumlarda geçerlidir” diyor. “Amerikalı güvenlik profesyonellerinin çoğunun böyle bir isme ısınacağını sanmıyorum Berbat Kartal Muhtemelen bir NSA cephaneliğinden ortaya çıkan bir güvenlik açığı hakkında.”
Son yıllarda çeşitli kuruluşlar, ismin tehdidin ciddiyetini ve hatadan nasıl yararlanılabileceğini yansıtması gerektiğini düşünmeye başladı. Sorunu çözmeyi amaçlayan girişimlerden biri de VulnonimCVE’lerin isimlendirilmesinde araştırmacılara rehberlik etmeye çalıştı. Ancak bu girişimin başarısı sınırlı oldu.
Virus Bulletin’in eski editörü güvenlik araştırmacısı Martijn Grooten, “Güvenlik açıklarını adlandıran merkezi bir kuruluşa ihtiyacımız olduğunu düşünmüyorum” diyor. “Pratik amaçlar açısından CVE’ler gayet iyi çalışıyor.”
Heartbleed’den on yıl sonra güvenlik topluluğu, güvenlik açıklarının adlandırılmasıyla boğuşmaya devam ediyor. Grooten, “Güvenlik ve pazarlamanın genellikle farklı çıkarları olduğundan bu dengeyi kurmak her zaman zor olacak” diye ekliyor. “Benim için önemli olan her zaman doğru iddialarda bulunmak olacaktır.”