Güvenlik Araştırmacılar, yaygın olarak kullanılan bir açık kaynaklı araç, ABD için ‘kalıcı’ bir risk oluşturuyor


Ulusal Güvenlik Ajansı’nın eski müdür yardımcısı George Barnes, NSA’da 36 yıl geçiren ve şu anda avlanan laboratuvarlarda kıdemli danışman ve yatırımcı olarak görev yapan “Nation devletleri stratejik bir konumlandırma ele geçiriyor” diyor. Barnes, Rusya istihbarat teşkilatları içindeki bilgisayar korsanlarının EasyJson’u gelecekte istismar için potansiyel bir fırsat olarak görebileceğini söylüyor.

Barnes, “Tamamen verimli bir kod. Bu konuda bilinen bir güvenlik açığı yok, bu nedenle başka hiçbir şirket bu konuda yanlış bir şey tanımlamadı” diyor. “Yine de ona sahip olan insanlar, Kremlin ile sıkı olan VK kisvesi altındadır” diyor. Rusya’nın yabancı askeri ve yerel güvenlik ajanslarına atıfta bulunarak, “Orada Gru veya FSB’de oturursam ve çamaşırhane fırsat listesine bakıyorsam… bu mükemmel. Sadece orada yalan söylüyor” diyor.

VK Group, Wired’in EasyJson hakkında yorum talebine yanıt vermedi. ABD Savunma Bakanlığı, EasyJson’un yazılım kurulumuna dahil edilmesi hakkında yorum talebine yanıt vermedi.

Ulusal Güvenlik Ajansı sözcüsü, “NSA’nın bu özel yazılım hakkında bir yorumu yok” diyor. “NSA Siber Güvenlik İşbirliği Merkezi, özel sektörden hoş geldiniz ipuçları verir – bir ipucu alındığında, NSA, tehdidi tam olarak anlamak ve desteklenirse, ilgili hafifletmeyi toplulukla paylaşmak için kendi bilgilerimize karşı bahşiş verir.” İkinci Trump yönetimi altında kargaşa ile karşılaşan ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı sözcüsü şöyle diyor: “Sizi avlanan laboratuvarlara geri yönlendireceğiz.”

Microsoft’un sahip olduğu bir kod deposu olan Github, sorunları araştıracak ve politikalarının kırıldığı yerlerde harekete geçecek olsa da, EasyJson ve VK’deki kötü amaçlı kodun farkında olmadığını söylüyor. Diğer teknoloji şirketlerinin VK tedavisi değişir. İngiltere, Eylül 2022’de VK’de hisseleri olan Rus bankalarının liderlerini yaptırdıktan sonra, örneğin Apple sosyal medya uygulamasını App Store’dan kaldırdı.

Tedarik zinciri güvenlik firması Chainguard CEO’su Dan Lorenc, EasyJson ile Rusya ile bağlantıların “sade görüşte” olduğunu ve diğer yazılım kütüphanelerinden daha “biraz daha yüksek” siber güvenlik riski olduğunu söylüyor. Diğer açık kaynak teknolojisinin etrafındaki kırmızı bayrakların o kadar açık olmayabileceğini ekliyor.

“Genel açık kaynak alanında, insanların çoğu zaman nerede olduğunu bile bilmiyorsunuz,” diyor Lorenc, birçok geliştiricinin kimliklerini veya konumlarını çevrimiçi olarak açıklamadığını ve yapsalar bile, ayrıntıların doğru olduğunu doğrulamak her zaman mümkün değildir. Lorenc, “Kod, güvenmemiz gereken şey, kod ve bu kodu oluşturmak için kullanılan sistemler. İnsanlar önemlidir, ancak güvenini bireylere itebileceğimiz bir dünyada değiliz” diyor Lorenc.

Rusya’nın Ukrayna’yı tam ölçekli istilası ortaya çıktıkça, açık kaynak sistemlerinin kullanımı ve yaptırımların kalkınmaya katılan kuruluşlar üzerindeki etkisi konusunda artan inceleme yapılmıştır. Geçen yıl Ekim ayında, bir Linux çekirdeği koruyucu, açık Souce projesine katılan 11 Rus geliştiriciyi kaldırdı ve değişimin nedeni olarak yaptırımları geniş ölçüde gösterdi. Daha sonra bu yıl Ocak ayında, Linux Vakfı, geliştiricilerin kiminle etkileşime girdikleri ve etkileşimlerin doğası konusunda temkinli olması gerektiğini söyleyerek, uluslararası yaptırımların açık kaynağı nasıl etkileyebileceğini kapsayan rehberlik yayınladı.



Source link