Hükümetler, yazılım şirketlerini güvenli olmayan bilgisayar kodları geliştirmekten sorumlu tutmalıdır. Microsoft ve Pentagon’u ciddi güvenlik açıklarını bulan ve bildiren güvenlik araştırmacılarına mali ödüller sunmaya ilk ikna eden beyaz şapkalı hacker ve güvenlik uzmanı Katie Moussouris böyle diyor.
Hata ödül programları o zamandan beri çoğaldı ve artık yazılım şirketleri için bir norm haline geldi; Apple gibi bazıları, kritik güvenlik açıklarını bulanlara 2 milyon dolar veya daha fazla ödül sunuyor.
Moussouris, güvenlik açığı araştırmasını Uber’de çalışmaya, ancak daha düşük ücret ve daha az iş güvenliğine benzetiyor. İşin püf noktası, insanlara yalnızca bir güvenlik açığını bulan ve bildiren ilk kişi olmaları durumunda ödeme almalarıdır. Emek verip ikinci veya üçüncü sonuç alanlar hiçbir şey alamıyorlar.
“Aslında bu, işgücü piyasasını sömürüyor. Onlardan spekülatif emek yapmalarını istiyorsunuz ve onlardan oldukça değerli bir şey alıyorsunuz” diyor.
İnsanların güvenlik sorunlarını çözmelerine yardımcı olma motivasyonuna sahip bazı beyaz şapkalı bilgisayar korsanları, yüksek riskli hatalar kadar ödeme yapmayabilen ancak bulunması daha kolay olan orta riskli güvenlik açıklarını bulma konusunda uzmanlaşarak geçimlerini sağlamayı başardılar.
Ancak çoğu güvenlik araştırmacısı, böcek ödül avcısı olarak geçimini sağlamakta zorlanıyor.
“Çok az sayıda araştırmacı elit düzeydeki güvenlik açıklarını bulma yeteneğine sahip ve yetenekli olanlardan da çok azı bir hata ödülünün peşinde koşmanın zaman ayırmaya değer olduğunu düşünüyor. Güzel bir sözleşmeyi veya tam zamanlı bir rolü tercih ediyorlar” diyor.
Etik hackleme yasal riskleri de beraberinde getirir
Sorun sadece düzenli bir gelirin olmaması değil. Güvenlik araştırmacıları aynı zamanda Birleşik Krallık’ın Bilgisayar Kötüye Kullanım Yasası ve ABD’nin acımasız Bilgisayar Sahtekarlığı ve Kötüye Kullanımı Yasası gibi bilgisayar korsanlığı karşıtı yasalardan kaynaklanan yasal risklerle de karşı karşıyadır.
Moussouris 2007 yılında Microsoft’a katıldığında şirketi, Microsoft ürünlerinde çevrimiçi güvenlik açıkları bulmaları ve bunları sorumlu bir şekilde bildirmeleri durumunda ödül avcılarına dava açılmayacağını duyurmaya ikna etti. O zamandan beri diğer yazılım şirketleri de aynı yolu izledi.
Birleşik Krallık hükümeti artık sorunun farkına vardı ve güvenlik açıklarını tespit eden ve paylaşan siber güvenlik araştırmacıları için, onları kovuşturmaya karşı korumak amacıyla yasal bir savunma getirme sözü verdi.
Diğer bir sorun ise birçok yazılım şirketinin güvenlik araştırmacılarının güvenlik açığı açıklamaları için kendilerine ödeme yapmadan önce bir gizlilik sözleşmesi (NDA) imzalamasında ısrar etmesidir.
Bu, Moussouris’in Uluslararası Standartlar Organizasyonu (ISO) aracılığıyla desteklediği güvenlik açıklamalarına ilişkin en iyi uygulamalara aykırıdır.
Yazılım şirketleri, bir güvenlik açığını keşfeden ilk kişiye bir Gizlilik Anlaşması imzalaması karşılığında bir ödül ödediğinde, bu, aynı güvenlik açığını bulanların bunu kamuya ifşa etmesi için bir teşvik oluşturur ve kötü bir aktörün bunu suç amacıyla kullanma riskini artırır.
Daha da kötüsü, bazı şirketler gizlilik anlaşmalarını güvenlik açıklarını gizli tutmak için kullanıyor ancak bunları düzeltmek için adım atmıyor, diyor şirketi Luta Security’nin hata ödülleri ve güvenlik açığı açıklama programlarını yöneten ve tavsiyelerde bulunan Moussouris.
“Genellikle büyük bir çözülmemiş hata yığını görüyoruz” diyor. “Ve bu programlardan bazıları, çok sayıda siber güvenlik çalışanı, uygulama güvenliği mühendisi ve finansmanı olan halka açık şirketler tarafından iyi bir şekilde finanse ediliyor.”
Bazı şirketler, hata ödüllerini güvenli kodlamanın ve yazılım testine doğru yatırımın yerine geçecek bir araç olarak görüyor gibi görünüyor.
“Hata ödüllerini, hataların kamuya açıklanmasını potansiyel olarak kontrol etmenin bir yolu olarak bir geçici çözüm olarak kullanıyoruz ve bunları, daha derin güvenlik kontrolleri eksikliğimizi teşhis edebilecek semptomları tanımlamak için kullanmıyoruz” diye ekliyor.
Moussouris, eninde sonunda, tıpkı otomobil üreticilerinin araçlarındaki güvenlik kusurlarından sorumlu olması gibi, hükümetlerin de yazılım şirketlerini yazılımlarındaki hatalardan sorumlu kılmak için devreye girip yasaları değiştirmeleri gerekeceğini söylüyor.
“Bütün hükümetler yazılım şirketlerini sorumlu ve yasal olarak sorumlu tutmaktan neredeyse vazgeçtiler çünkü endüstrilerinin büyümesini teşvik etmek istiyorlardı” diyor. “Fakat bunun belli bir noktada değişmesi gerekiyor, tıpkı otomobillerin sıkı bir şekilde düzenlenmemesi ve daha sonra emniyet kemerlerinin kanunen zorunlu olması gibi.”
Yapay zeka daha az güvenli kodlara yol açabilir
Yapay zekanın (AI) yükselişi beyaz şapkalı bilgisayar korsanlarını tamamen gereksiz hale getirebilir, ancak bu belki de daha iyi bir yazılım güvenliğine yol açacak şekilde olmayabilir.
ABD’deki tüm büyük hata ödül platformları, güvenlik açıklarının önceliklendirilmesine yardımcı olmak ve sızma testlerini artırmak için yapay zekayı kullanıyor.
Yapay zeka destekli bir penetrasyon testi platformu olan XBow, yakın zamanda bulunması nispeten kolay güvenlik açıklarına odaklanmak için yapay zekayı kullanarak ve güvenlik hatalarını toplamak için olası adayları sistematik bir şekilde test ederek hata ödül sıralamasında zirveye yerleşti.
“Yapay zekayı insanlardan daha iyi veya çoğu durumda insanlardan daha iyi gösterecek şekilde eğitecek araçları yarattığımızda, halıyı piyasadan çekmiş olacaksınız. Peki bir sonraki hata ödül uzmanını nereden bulacağız?” diye soruyor.
Yapay zeka sistemlerinde önemli bir şeyin eksik olduğunu fark etme becerisine sahip mevcut uzmanlar nesli yok olma tehlikesiyle karşı karşıya.
“Hata ödül platformları, yapay zeka ajanlarının insan böcek avcılarının yerini alacağı, hata ödüllerinin otomatik, sürücüsüz bir versiyonuna doğru ilerliyor” diyor.
Maalesef yapay zekanın yazılım hatalarını bulması, bunları düzeltmek için yapay zekayı kullanmaktan çok daha kolaydır. Şirketler, güvenlik risklerini azaltmak için yapay zekayı kullanmaya gerektiği kadar yatırım yapmıyor.
“Bu denklemi çok hızlı bir şekilde nasıl değiştirebileceğimizi bulmamız gerekiyor. Bir hatayı bulup bildirmek, yapay zekanın bir yama yazıp test etmesinden daha kolaydır” diyor.
Hata ödülleri başarısız oldu
Hata ödül programlarının tutkulu ve hevesli bir savunucusu olan Moussouris, hata ödül programlarının bir anlamda başarısız olduğunu kabul eden ilk kişidir.
Bazı şeyler iyileşti. Yazılım geliştiricileri, siteler arası komut dosyası çalıştırma hataları gibi belirli güvenlik açığı sınıflarının ortaya çıkmasını zorlaştıran daha iyi programlama dillerine ve çerçevelerine yöneldiler.
Ancak çok fazla güvenlik tiyatrosunun bulunduğunu öne sürüyor. Şirketler hala görünür oldukları için hataları ele alıyor ancak halkın göremediği şeyleri düzeltmeyi erteliyor veya güvenlik açıklarını halktan uzak tutmak için araştırmacıların sessizliğini satın almak için gizlilik anlaşmaları kullanıyor.
Moussouris, yapay zekanın eninde sonunda insan böcek araştırmacılarının yerini alacağına inanıyor ancak uzmanlık kaybının güvenliğe zarar vereceğini söylüyor.
Dünya yeni bir sanayi devriminin eşiğinde ama bu son sanayi devriminden daha büyük ve daha hızlı olacak. 19. yüzyılda insanlar tarımı bırakıp fabrikalarda uzun saatler boyunca, çoğu zaman düşük ücretlerle tehlikeli koşullarda çalışıyorlardı.
Moussouris, yapay zekanın halihazırda insanlar tarafından yürütülen görevlerin artmasıyla birlikte işsizlik artacak, gelirler düşecek ve ekonomiler durgunluk riskiyle karşı karşıya kalacak.
Ona göre tek cevap, hükümetlerin yapay zeka şirketlerine vergi vermesi ve gelirleri nüfusa evrensel bir temel gelir (UBI) sağlamak için kullanması olduğuna inanıyor. “Bence öyle olmalı, yoksa kelimenin tam anlamıyla kapitalizmin hayatta kalmasının hiçbir yolu olmayacak” diyor. “İyi haber şu ki, insanın mühendislik becerisi şimdilik hala sağlam. Ben hâlâ bu sorundan çıkış yolu bulacağımıza inanıyorum.”
Hükümetler ve ödül avcıları arasında artan gerilim
Hata ödül avcılarının çalışmaları, yazılım teknolojisi şirketlerinin güvenlik açıklarını düzeltmeden önce hükümetlere bildirmelerini zorunlu kılan hamlelerden de etkilendi.
Bu durum, teknoloji şirketlerinin yeni güvenlik açıklarını keşiften sonraki 48 saat içinde açıklamasını gerektiren 2021 yılında Çin ile başladı.
Moussouris, “Zayıflıkları saldırı amacıyla kullanıp kullanmayacaklarını değerlendirecekleri çok açıktı” diyor.
2020 yılında Avrupa Birliği (AB), görünüşte Avrupa hükümetinin siber savunmalarını hazırlamasına izin vermek için benzer açıklama yükümlülükleri getiren Siber Dayanıklılık Yasasını (CRA) yürürlüğe koydu.
Moussouris, güvenlik açığının ifşa edilmesine ilişkin ISO standardının ortak yazarıdır. İlkelerinden biri, güvenlik hatalarına ilişkin bilgiyi, bunlar düzeltilmeden önce en az sayıda kişiyle sınırlamaktır.
AB, güvenlik açıklarına ilişkin ayrıntılı bir teknik açıklama veya güvenlik açıklarından nasıl yararlanılabileceğini gösteren kavram kanıtı kodu talep etmediği için yaklaşımının güvenli olacağını savunuyor.
Ancak Moussouris, bunun asıl noktayı gözden kaçırdığını söylüyor. Güvenlik açıkları hakkındaki bilgilere erişimi olan insan havuzunun genişletilmesi, sızıntı olasılığını artıracak ve suçlu bilgisayar korsanlarının veya düşman ulus devletlerin bunları suç veya casusluk amacıyla kullanma riskini artıracaktır.
Düşman ülkelerden kaynaklanan risk
Moussouris, düşman ulusların, yeni güvenlik açıklarını öğrenmek için hükümetin hata bildirim planlarındaki en zayıf halkalardan yararlanacağından şüphe duymuyor. Eğer bu güvenlik açıklarını halihazırda saldırı amacıyla kullanıyorlarsa, izlerini örtebilecekler.
“Tehdit istihbaratı ortamında bir karışıklık olacağını tahmin ediyorum çünkü düşmanlarımız bu yasanın yürürlüğe gireceğini kesinlikle biliyorlar. Kesinlikle kendilerini, bu şeyleri bilgi alan en sızdıran taraf aracılığıyla öğrenecek şekilde konumlandırıyorlar” diyor.
“Ve eğer henüz yapmamışlarsa, ya söz konusu yazılımı hedeflemeye başlayacaklar ya da eğer onu kullananlar kendileriyse operasyonlarını geri çekmeye ya da izlerini gizlemeye başlayacaklar. Bu ters etki yaratıyor” diye ekliyor.
Moussouris, ABD’nin kendi hata raporlama planını uygulamaya koyarak AB’yi takip etmesinden endişe ediyor. “ABD’nin de takip edeceğini tahmin ederek nefesimi tutuyorum ama onları buna karşı uyarıyorum.”
İngiltere’nin hisse senedi programı
Birleşik Krallık’ta GCHQ, özsermaye planı olarak bilinen bir süreç aracılığıyla hükümetin güvenlik açıklarını casusluk amacıyla kullanmasını düzenliyor.
Bu, güvenlik uzmanlarının, Birleşik Krallık’ın, yazılım tedarikçilerini potansiyel istismarlar konusunda bilgilendirmemesi halinde, istismarın istihbarat toplama açısından potansiyel değerine karşı kendi kritik sistemlerini riske atıp atmayacağına karar vermesini içeriyor.
Sürecin bir rasyonellik cilası var, ancak başarısız oluyor çünkü pratikte hükümet uzmanlarının kritik ulusal altyapıdaki güvenlik açıklarının ne kadar yaygın olduğu hakkında hiçbir fikri yok. Microsoft gibi büyük tedarikçiler bile kendi ürünlerinin nerede kullanıldığını takip etmekte zorluk çekiyor.
“Microsoft’ta çalışırken, Microsoft’un dünyada nelerin kullanıldığına dair çok fazla görünürlüğü olmasına rağmen, istismar edilene kadar bilemeyecekleri tonlarca şeyin olduğu çok açıktı” diyor.
“Microsoft’un, müşterilerinin nerede olduğunu bilmek için tüm telemetri yeteneğiyle mücadele etmesi, ne kadar savunmasız olduğumuzu güvenilir bir şekilde ölçmenin kesinlikle hiçbir yolu olmadığı anlamına geliyor” diye ekliyor.
Kate Moussouris, SANS Siber Tehdit Zirvesi’nde Computer Weekly’ye konuştu.