Yönetişim ve Risk Yönetimi, Mevzuat ve Dava, Yama Yönetimi
Uzmanlar Güvenlik Açıklarının Devlet Kurumlarına Açıklanmasının Bilgisayar Korsanlığı Risklerini Artıracağı Uyardı
Akşaya Asokan (asokan_akshaya) •
4 Ekim 2023
Dört düzineden fazla siber güvenlik uzmanı, Avrupa Birliği’nin yazılım yayıncılarına, ticaret bloğunun siber güvenlik kurumunu sıfır gün açıklarından yararlanma konusunda 24 saat içinde bilgilendirmesi yönünde teklif edilen bir talimatnamenin, bunların keşfedilmesinden itibaren siber güvenlik çabalarına zarar verme riski taşıdığını söylüyor.
Ayrıca bakınız: Canlı Web Semineri Yarın | Kafanızı Buluta Taşıyın: Modern Güvenlik Sorunları ve Çözümleri
Salı günü AB İç Pazar Komiseri Thierry Breton’a hitaben yazılan açık bir mektupta 56 siber güvenlik uzmanı, Avrupa Birliği’nin Siber Dayanıklılık Yasası’nın bir parçası olan teklif edilen yetkiyi kaldırması gerektiği konusunda hemfikirdi. Avrupa Komisyonu tarafından 2022’de öne sürülen teklif, Temmuz ayında önemli bir parlamento komitesinden geçti ve Avrupa Komisyonu’nun aracılık ettiği görüşmelerde parlamento destekçileri ile ulus devlet üyelerinin temsilcileri arasındaki müzakerelere hızla aktarıldı.
Teklifin bir bölümü, “aktif olarak istismar edilen herhangi bir güvenlik açığının” tespit edilmesinden sonraki 24 saat içinde bildirimi belirlenmiş bir ulusal bilgisayar güvenliği olay müdahale ekibine iletecek olan Avrupa Birliği Siber Güvenlik Ajansı’na açıklanmasını gerektiriyor.
Mektupta “Bu, düzinelerce devlet kurumunun, hafifletilmemiş güvenlik açıklarına sahip gerçek zamanlı bir yazılım veritabanına erişebileceği anlamına geliyor” deniyor. Teknik ayrıntılardan arındırılmış açıklamalar bile “becerikli bir kişinin istismarı yeniden yapılandırması için yeterlidir”. İmzacılar arasında Eset, Rapid7, Bitdefender ve Trend Micro’nun yöneticileri yer alıyor. ABD Dışişleri Bakanlığı’nın eski siber koordinatörü Chris Painter ve Avrupa Parlamentosu’nun eski bir üyesi olan Marietje Schaake imzacılardan biri.
Mektupta, yasalaşması durumunda teklifin birçok olumsuz sonucu olacağı ileri sürülüyor. Yakın zamanda keşfedilen ve henüz yamaları bulunmayan açıklardan oluşan veritabanı, bilgisayar korsanlarının hedefi haline gelebilir. Mektupta, istismarlarla dolu gizli hükümet veri tabanının daha önce sızdırıldığı, ABD Ulusal Güvenlik Ajansı tarafından tutulan ve kendilerini “Gölge Brokerleri” olarak adlandıran bilgisayar korsanlarının 2016 ve 2017’de yayınladığı sıfır gün güvenlik açıklarına açık bir gönderme yapıldığı belirtiliyor (bkz.: Gizem, NSA Benzeri Casusluk Araç Setinin İhlalini Çevreliyor).
Mektubu imzalayanlar aynı zamanda hükümetlerin verileri gözetim amacıyla kötüye kullanma olasılığını da artırıyor.
Olaylara müdahale firması HackerOne’ın kurucu ortağı ve CTO’su ve mektubu imzalayanlardan biri olan Alex Rice, 24 saatlik güvenlik açığı raporlama son tarihinin erken ifşa edilmesine yol açabileceğini söyledi.
İmzacılar, her yeni açıklamanın bir hükümet bildirimi dalgasını tetikleyeceğinden, şirketlerin dışarıdan araştırmacıların güvenlik açığı araştırmalarını kabul etme eğiliminde olacağını söylüyor. Yamaların kodlanması ve test edilmesi zaman aldığından, sıfır gün kusurlarının sorumlu bir şekilde açıklanması genellikle keşiften sonra 24 saatten fazla bir süre gerektirir.
Açık kaynak toplulukları ayrı ayrı önerinin Avrupa’daki operasyonları üzerinde “caydırıcı bir etki” yaratabileceğini savundu. Nisan ayında yayınlanan bir açık mektupta, Linux Foundation ve Open Forum Europe gibi kuruluşlar, tasarının açık kaynak kodlayıcılara savunulamaz yükümlülükler getireceğini söyledi.
Açık kaynak topluluklarının dile getirdiği endişelerin ardından milletvekilleri, metinde, açık kaynak geliştiricilerinin, kodlamaları karşılığında mali ücret almamaları koşuluyla tasarıya uymalarını yasaklayan bir değişikliği kabul etti.
Mektubu imzalayanlar, Avrupa müzakerelerinin açıklama dilini tamamen ortadan kaldırmamayı tercih etmesi gerektiğini söylüyor. Avrupa hükümetlerinin gönderilen istismar verilerini gözetim veya saldırı amacıyla kullanmasını yasaklamalılar. Ayrıca raporlama yükünün 24 saatlik keşiften 72 saatlik yama yayınlamaya kaydırılması çağrısında bulunuyorlar. İmzacılar, Siber Dayanıklılık Yasası’nın ayrıca iyi niyetli güvenlik araştırmaları için istismar edilen güvenlik açıklarının rapor edilmesini gerektirmemesi gerektiğini söylüyor. “Bir güvenlik açığının kötü niyetli olarak kullanılmasının aksine, iyi niyetli güvenlik araştırması bir güvenlik tehdidi oluşturmaz.”