Ağustos ayında Black Hat ABD’deki bir sahnede Microsoft konuk hesaplarının, SQL sunucuları ve Azure kaynakları da dahil olmak üzere hassas kurumsal verileri görüntülemek ve değiştirmek için nasıl erişim sağlayabileceğini ayrıntılı olarak anlattım. Bunun da ötesinde, Power Platform’un bir bilgisayar korsanı tarafından kurbanlarının kimliklerini otomatik olarak doğrulayan dahili kimlik avı uygulamaları oluşturmak ve saldırıya uğrayan kullanıcı silinse bile varlığını sürdüren bir arka kapı oluşturmak için nasıl kullanılabileceğini gösterdim. Azaltma, paylaşılan sorumluluk modelinin müşteri tarafına düştüğünden, bunlar bugün hala açık konulardır; bu, her Microsoft müşterisinin bu güvenlik açıklarını azaltmak için kendi ortamlarını izlemesi ve sağlamlaştırması gerektiği anlamına gelir.
Konuşmaya hazırlanırken, güvenlik araştırmasının iki ucu keskin kılıcın olabileceğinin farkında olarak, hangi bilgileri paylaşacağımı uzun uzun düşündüm. Sorunu bilgisayar korsanlarının radarına sokarak daha da kötüleştirmeden farkındalığı artıracak ve insanları eyleme geçirecek kadar nasıl paylaşabilirim? Tüm bu sorunların vahşi doğada istismar edildiğini zaten gözlemlediğimizi düşündükten sonra bilgiyi paylaşmaya karar verdim. Bilgisayar korsanları sorunların zaten farkındaydı ve bunları aktif olarak istismar ediyorlardı; Oyun alanını eşitlememiz ve güvenlik ekiplerine organizasyonlarını güvende tutmak için ihtiyaç duydukları bilgi ve araçları vermemiz önemliydi.
Bu güvenlik araştırmacısının ikilemi yeni değil ve bununla uğraşmak zorunda kalan ilk veya tek kişi kesinlikle ben değilim. Benzer durumda olan, ya sessiz kalabilecekleri ya da çözülmemiş bir güvenlik sorunu hakkında herkesi eğitebilecekleri birkaç araştırmacıyı daha gösterebilirim.
Kötü Eski Günler
Güvenlik araştırmacılarının Black Hat veya DEF CON aşamalarında sıfır gün güvenlik açıklarını bıraktığı günler geride kaldı. Bu elbette çok iyi bir şey; her ne kadar güvenlik topluluğu olarak bir şeyler kaybetmiş olsak da, bu konuya daha sonra değineceğiz. Bununla birlikte çoğu satıcı, güvenlik araştırmacılarının kendilerini dürüst tutmak ve tüm topluluğun güvenlik durumunu iyileştirmek için hareket ettiğinin farkındadır. Kymberlee Price’ın yakın zamanda Ryan Naraine ile yaptığı bir röportajda belirttiği gibi, güvenlik araştırmacılarının güvenlik açıklarını yayınlaması onları düşman yapmaz; Eğer onlar kötü adamlar olsaydı, güvenlik açığını kullanıyor olurlardı; size onlardan hiç bahsetmezlerdi.
Kuşkusuz, son örnek Log4Shell’in taze bir anı olmasının acısıyla, ara sıra hala sıfır gün düşüşleri alıyoruz. Ancak ortalama bir araştırmacının, özellikle de saygın bir güvenlik sağlayıcısı veya danışmanlığı için çalışan bir araştırmacının, güvenlik açığını açığa çıkarma yoluna ilk önce gittiği anlaşılıyor.
İnsanların bu bilgileri neden halka açık olarak paylaştığını hatırlamak önemlidir. Bunun nedeni, satıcının sorunu makul bir süre içinde çözmesini sağlayamayacaklarını düşünmemeleridir. İçinde eski kötü günlergüvenlik araştırmacıları aslında satıcıları sorunları hemen düzeltmeye zorlayan yangınları yaktı.
Bugün Neredeyiz
Bugün çoğunlukla tamamen farklı bir basketbol sahasındayız. Tanıdığım çoğu güvenlik araştırmacısı satıcıyla iletişim kuruyor, yanıt gelmesini bekliyor ve ardından dışarı çıkıp olayları kamuya ifşa etmeden önce biraz daha bekliyor.
Burada güç dengesine dikkat etmek önemli. Bir araştırmacı olarak, genellikle kendinizi sonsuz kaynaklara, güçlü bir medya varlığına ve bir grup avukata sahip dev bir kuruluşla karşı karşıya bulursunuz. Çoğu durumda, bu sonsuz kaynakların bir PR krizini önlemek ve sorunla yüzleşmek yerine sorunu ortadan kaldırmak ve aslında müşterileri daha güvenli hale getirmek için kullanıldığı hissine kapılabilirsiniz. Bazı kuruluşlar araştırmacıların bu zorlukları aşmasına yardımcı olsa da her zaman David Goliath’a karşı gibi geliyor.
Sorumlu açıklama, koordineli açıklama ve günümüzün popüler güvenlik açığı açıklama platformlarının ana sorunu, tüm kararları herhangi bir şeffaflık olmaksızın yalnızca güvenlik açığı rapor edilen kuruluşun takdirine bırakmalarıdır. Elbette CVE sistemimiz var. Ancak bunların verilmesi çoğunlukla satıcının takdirindedir. Bugün hepimizin güvendiği bulut hizmetleri için durum daha da kötü; birçok satıcı CVE yayınlamayı reddediyor ve hizmetlerinde keşfedilen ve düzeltilen güvenlik sorunları konusunda şeffaflığa sahip değil.
Kendimizi Dürüst Tutmak
Sorunları açıkça tartışmanın kendimizi doğru şeyi yapmaya zorlamanın en iyi yolu olduğunu uzun zamandır biliyoruz. Açık kaynaklı yazılım geliştirmek, belirsizliği kullanarak güvenliğe meydan okumak veya açık hükümet için girişimler başlatmak gibi farklı bağlamlarda bu gerçeği tekrar tekrar keşfediyor gibiyiz. Günümüzün güvenlik açığı durumunda, pek çok kişi sarkacın bir tarafa çok fazla sallandığını ve satıcıları, uzun vadeli müşteri güveni ve ekosistemin güvenliği pahasına kısa vadeli görünürlük endişelerini en aza indiren seçimler yapmaya zorladığını düşünüyor.
Güvenlik açığı raporları alan satıcı güvenlik ekipleri, kuruluşlarının sorunları düzeltmesini ve araştırmacılarla güçlü ilişkiler kurmasını sağlamak için inanılmaz işler yapıyor. Ama onların da yardıma ihtiyacı var. Kuruluş, müşterileri risk altında olsa bile durumu kontrol ettiğini hissettiğinde, bir sorunu çözme konusunda aciliyet yaratmak zordur.
Güvenlik konferansları, güvenlik araştırmacılarının satıcıların doğru seçimleri yapmalarına yardımcı olabileceği yerdir. Bir güvenlik araştırmacısının satıcıyı harekete geçirme umuduyla dürtebileceği küçük bir çubuk sağlarlar. Bilgiler, tüm topluluğun görmesi ve mevcut durumu kabul edip etmediğine karar vermesi için yayınlanır. Alenen.