Bütün amaç Güvenlik açığının ifşa edilmesi, düzeltmeler veya yamalar oluşturabilmeleri ve ürünlerinin güvenliğini artırabilmeleri için yazılım geliştiricilerini kodlarındaki kusurlar hakkında bilgilendirmektir. Ancak 17 yıl ve 10.000’den fazla güvenlik açığı açıklamasından sonra, Zero Day Initiative bugün Las Vegas’taki Black Hat güvenlik konferansında “rahatsız edici bir eğilim” ilan ediyor ve bir miktar karşı baskı uygulama planını duyuruyor.
2015’ten beri güvenlik firması Trend Micro’ya ait olan ZDI, araştırmacılardan güvenlik açığı bulgularını satın alan ve satıcılara açıklamayı ele alan bir programdır. Karşılığında, bir virüsten koruma aracı ve diğer savunma ürünleri yapan Trend Micro, araştırmaları izlemek ve müşterilerini korumak için kullanabileceği çok sayıda bilgi ve telemetri elde ediyor. Grup, bu yıl şu ana kadar yaklaşık 1.700 açıklama yaptığını tahmin ediyor. Ancak ZDI, kuş bakışı bakış açısından, son yıllarda genel olarak satıcı yamalarının kalitesinin düştüğünü tespit ettiği konusunda uyarıyor.
Gittikçe daha sık olarak, grup bir araştırmacıdan bir hata satın alıyor, yamalı hale geliyor ve hemen ardından ZDI yamanın nasıl atlanacağı hakkında, bazen birden fazla yama ve atlatma turuyla başka bir rapor satın alıyor. ZDI ayrıca, kamu güvenliği uyarılarında güvenlik açıkları hakkında daha az spesifik bilgi ifşa eden şirketlerin endişe verici bir eğilimi fark ettiğini ve bu durumun dünya çapındaki kullanıcıların bir güvenlik açığının ne kadar ciddi olduğunu değerlendirmesini ve yama önceliklendirmesini formüle etmesini zorlaştırdığını belirtiyor. kurumlar ve kritik altyapı
ZDI üyesi Dustin Childs, “Son birkaç yılda güvenlik yamalarının kalitesinin gözle görülür şekilde düştüğünü gerçekten fark ettik” diyor. “Eksik veya hatalı yamalara sahip olmanın hiçbir sorumluluğu yoktur.”
ZDI araştırmacıları, kötü yamaların çeşitli nedenlerle gerçekleştiğini söylüyor. Yazılım kusurlarının nasıl düzeltileceğini bulmak, incelikli ve hassas bir süreç olabilir ve bazen şirketler bu önemli sorunlara zarif çözümler üretmek için uzmanlıktan yoksundur veya yatırım yapmamıştır. Kuruluşlar hata raporlarını kapatmak ve listelerini temizlemek için acele ediyor olabilir ve daha derin sorunların kapsamlı bir şekilde çözülebilmesi için “kök neden” veya “varyant” analizi yapmak ve altta yatan sorunları değerlendirmek için gerekli zamanı ayıramayabilirler.
Nedeni ne olursa olsun, kötü yamalar gerçek bir endişe kaynağıdır. Haziran ayının sonunda, Google’ın Project Zero böcek avı ekibi, 2022’de şimdiye kadar vahşi doğada saldırganlar tarafından istismar edildiğini izlediği yeni güvenlik açıklarının en az yarısının daha önce yamalanmış kusurların çeşitleri olduğunu buldu.
ZDI’yi yöneten Brian Gorenc, “Zaman içinde bazı şeylerin bir araya gelmesi, aslında çoğu insanın anladığından daha ciddi bir sorunumuz olduğuna inanmamıza neden oldu” diyor.
Özellikle Project Zero dahil olmak üzere, ifşaya yoğun şekilde dahil olan diğer kuruluşlar gibi, ZDI da geliştiricilere, söz konusu güvenlik açığıyla ilgili ayrıntıların kamuya açıklanmasından önce bir yama yayınlamaları için bir son tarih verir. ZDI’nin standart son tarihi, ifşadan itibaren 120 gündür. Ancak, kötü yama salgınına tepki olarak, grup bugün daha önce yamalanmış hatalar için yeni bir tarihler dizisi duyuruyor.
Kusurun ciddiyetine, yamayı atlamanın ne kadar kolay olduğuna ve ZDI’nin güvenlik açığından saldırganlar tarafından yararlanma olasılığının ne kadar olduğuna bağlı olarak, grup şimdi kritik kusurlar için 30 günlük, hatalar için 60 günlük süreler belirleyecek. mevcut yamanın bir miktar koruma sağladığı durumlarda ve diğer tüm durumlar için 90 gün. Bu hamle, geliştiricilerin dünya çapındaki kullanıcıları potansiyel olarak etkileyen yüksek riskli yazılım kusurlarını nasıl ele aldığı konusunda gerekli iyileştirmeleri teşvik etmek için – birkaç güvenlik savunucusunun sahip olduğu – önemli bir kaldıraç noktası olarak kamuya açıklamayı kullanma geleneğini takip ediyor.
ZDI’den Childs, “Çeşitli güvenlik açıklarında başarısız yamaların silah haline getirilmesi şu anda kesinlikle vahşi ortamda kullanılıyor” diyor. “Kullanıcı için gerçek sonuçları olan gerçek bir sorun ve satıcıları ilk seferde doğru olanı yapmaya teşvik etmeye çalışıyoruz.”