“Şimdiye kadar görülen en iyi tedarik zinciri saldırısı uygulaması” dikkat çekmek için tasarlanmış bir başka abartı gibi gelebilir, ancak yakın zamandaki XZ Utils vakası hariç, öyle değildi. En deneyimli profesyoneller bile dünyanın neredeyse kaçtığı karmaşıklık ve hasar potansiyeli karşısında hayrete düşmüştü.
Kaçırmış olabilecekler için, birkaç hafta önce bir geliştirici, tamamen şans ve azimle, yaygın olarak kullanılan açık kaynaklı sıkıştırma yardımcı programı XZ Utils’te kötü amaçlı bir arka kapının bulunduğunu keşfetti. Arka kapı, küresel altyapıyı çalıştıran sunucuların çoğuna neredeyse sınırsız erişim elde etme amacıyla yardımcı programa kasıtlı olarak yerleştirilmişti.
Açık kaynak topluluğunun son güvenlik olayına verdiği hızlı tepki gerçekten dikkat çekiciydi. İlk rapordan sadece birkaç gün sonra, saldırı yalnızca tespit edilmekle kalmadı, aynı zamanda tamamen çözüldü; tüm bunlar aracın tehlikeye atılmış sürümü yaygın bir şekilde yayılmadan önce gerçekleşti. Bu, açık kaynak kodunun avantajlarına dair güçlü bir hatırlatma: Bu kapalı kaynak kodu olsaydı, ihlalin tespit edilip edilmeyeceğini, hatta bu kadar hızlı düzeltilip düzeltilmeyeceğini kim bilebilirdi? Umuyoruz ki, bu büyük olay sektörü açık kaynak yazılımlara daha sürdürülebilir yaklaşımlar geliştirmeye teşvik eder ve belki de klasik xkcd çizgi romanı “Bağımlılık”ı yazılım geliştirmenin mevcut durumunu daha az yansıtır hale getirir.
Ancak güvenlik açısından bakıldığında, burada bir başka önemli çıkarım daha var: tedarik zinciri saldırılarının yaşandığı günümüz dünyasında, GitHub’ı saldırı yüzeyi haritalamanıza dahil etmemek, özellikle açık kaynaklı geliştirmede aktif olarak yer almayan şirketler için çok maliyetli bir hataya dönüşebilir.
GitHub: Çift Taraflı Bir Kılıç
GitHub’ın popülaritesindeki hızlı artış, onu bilgisayar korsanları ve siber suçlular için karşı konulamaz bir hedef haline getirdi. 300 milyondan fazla genel depo ve 100 milyon kullanıcıyla, platformun geniş saldırı yüzeyi kötü niyetli aktörlerin istismar etmesi için bolca fırsat sağlıyor. GitHub’ın teknoloji devlerinden devlet kurumlarına kadar sektörler genelinde yaygın bir şekilde benimsenmesi, tek bir güvenlik açığının veya tehlikeye atılmış bir hesabın çok kapsamlı sonuçlara yol açabileceği anlamına geliyor.
GitHub, XZ Utils sabotajına hazırlık olarak sabırla bir güvenilirlik geçmişi oluşturan (muhtemelen sahte) profil Jia Tan için sahneleme alanıydı. Ancak bu, tehdit aktörlerinin geliştiricileri aldatmak için platformu nasıl kullandığına dair sadece bir örnek: yakın zamanda saldırganlar, yüzlerce depodan sırları sızdırmak için Dependabot’u (güncel olmayan bağımlılıkları kontrol eden ve birleştirmeye hazır değişiklikleri öneren bir bot) taklit etti. Bir çalışma, milyonlarca deponun, kötü niyetli aktörlerin yeni kullanılabilir bir kullanıcı adı kaydederek bir GitHub ad alanı üzerinde kontrol sahibi olmalarına olanak tanıyan bir tedarik zinciri saldırısı olan “RepoJacking”e karşı potansiyel olarak savunmasız olduğunu ortaya koydu. Platformun açık yapısı ve işbirlikçi özellikleri, inovasyonu teşvik etmek için gerekli olsa da, onu tehdit aktörleri için ideal bir avlanma alanı haline getiriyor. Bilgisayar korsanları kolayca hesap oluşturabilir, projelere katkıda bulunabilir ve hatta meşru olanlar gibi görünen kötü niyetli depolar bile kurabilir.
Ayrıca platformda yanlışlıkla ifşa edilen hassas verileri, özellikle de sırları toplayabilirler; bunlardan 12,8 milyonu sadece 2023’te ifşa oldu. Bu, kuruluşların GitHub ayak izlerini izlemeyi ciddi şekilde düşünmeleri gerektiğini acilen vurguluyor.
Sırların Yayılması Durumu
GitHub’daki kod depolarının yaygınlaşması, hassas bilgilerin hem kazara hem de kasıtlı olarak ifşa olma riskini artırıyor. State of Secrets Sprawl’ın 2024 baskısında, kod güvenlik şirketi GitGuardian, 2023’te GitHub’da 12,8 milyon yeni sırrın kamuoyuna sızdırıldığını ve bunun bir önceki yıla göre %28’lik bir artışa işaret ettiğini bildiriyor. Bu eğilim, 2021’den bu yana bu tür olayların dört katına çıkması düşünüldüğünde daha da endişe verici.
Raporda 1 milyondan fazla geçerli Google API sırrı, 250.000 Google Cloud sırrı ve 140.000 AWS sırrının sızdırıldığı tespit edildi. Bu sızıntıların çoğu kurumsal kimlik bilgileriyle ilgiliydi ve BT sektörü tespit edilen tüm sızıntıların yaklaşık %66’sını oluşturuyordu. Ancak sorun Eğitim, Bilim ve teknoloji, Perakende, Üretim, Finans ve sigorta gibi çeşitli sektörleri kapsıyor ve kod paylaşım platformunda birçok farklı sektörün ifşa edildiğini vurguluyor.
Raporun en endişe verici bulgularından biri, bu kimlik bilgilerinin çoğunun, bunları barındıran kod kamuya açık olmaktan çıksa bile uzun süre geçerli kalmasıdır. Geçerli sırların %90’ı, yazara bildirimde bulunulduktan sonra en az beş gün boyunca aktif kalarak, kuruluşları raporun “zombi sızıntıları” olarak adlandırdığı şeye karşı savunmasız olma riskiyle karşı karşıya bırakmaktadır. Bunlar silinmiş ancak geçersiz kılınmamış kalıcı kimlik bilgileridir. Hala geçerli ve istismar edilebilir oldukları için, saldırganlara sistemlere gizlice sızmanın bir yolunu sağlayabilecek görünmez ancak yüksek etkili bir güvenlik açığını temsil ederler.
Bu kritik güvenlik açığı, kuruluşların sızdırılan sırların etkisini en aza indirmek için güçlü sır yönetimi uygulamaları uygulaması ve düzeltme sürecini otomatikleştirmesi konusundaki acil ihtiyacı vurgulamaktadır.
XZ Utils Arka Kapı Olayından Öğrenilen Dersler
Bu hikaye acı verici ama kritik bir gerçeği vurguluyor: Açık kaynaklı güvenlik yalnızca BT departmanları veya teknoloji şirketleri için bir endişe değil, herkes için bir iş zorunluluğudur. Bugün, her kuruluş, açık kaynaklı faaliyeti ne olursa olsun, bu paylaşılan kod tabanlarının güvenliğini önceliklendirmeli ve GitHub gibi platformları saldırı yüzeylerinin ayrılmaz bir parçası olarak görmelidir.
Kapsamlı bir izleme ve denetim stratejisi uygulamak, kuruluşların kötü niyetli bir aktör tarafından bir anahtarın istismar edildiğini görme riskini azaltmalarına yardımcı olabilir. Bunun için, sızıntıları tanımlama yeteneğine ihtiyaçları vardır dıştan kuruluşun kontrol sahibi olduğu kişisel veya açık kaynaklı depolar gibi depolar. Bu, API anahtarları, veritabanı kimlik bilgileri ve saldırılar için giriş noktası görevi görebilecek erişim belirteçleri gibi ifşa edilmiş sırlar için depoların düzenli olarak taranmasıyla gerçekleştirilebilir.
Otomatik izleme ve denetim araçlarına yatırım yapmak, süreci önemli ölçüde kolaylaştırabilir ve güvenlik ekiplerinin yükünü azaltabilir. Bu araçlar depoları sürekli tarayabilir, gerçek zamanlı uyarılar sağlayabilir ve kapsamlı raporlar üretebilir, böylece kuruluşların GitHub’da güçlü bir güvenlik duruşu sürdürmesini sağlar.
Ayrıca, GitHub depolarının denetlenmesi kötü amaçlı kod enjeksiyonları, arka kapılar ve tedarik zinciri saldırıları gibi gizli tehditleri ortaya çıkarabilir. Kod değişikliklerini, taahhüt geçmişlerini ve katkıda bulunan etkinlikleri kapsamlı bir şekilde inceleyerek kuruluşlar şüpheli kalıpları tespit edebilir ve riskleri azaltmak için hızlı bir şekilde harekete geçebilir.
Ancak, yalnızca izleme ve denetimin yeterli olmadığını belirtmek önemlidir. Kuruluşlar ayrıca belirlenen risklere ve güvenlik açıklarına yanıt vermek için net politikalar ve prosedürler oluşturmalıdır. Bu, etkili olay yanıt planlarının uygulanmasını, geliştiriciler için düzenli güvenlik eğitimlerinin yürütülmesini ve kuruluş genelinde bir güvenlik farkındalığı kültürünün oluşturulmasını içerir.
GitHub depolarının proaktif izlenmesi ve denetimine öncelik vererek, kuruluşlar saldırı yüzeylerini etkili bir şekilde azaltabilir, değerli varlıklarını koruyabilir ve yazılım tedarik zincirlerinin bütünlüğünü sağlayabilir. Tedarik zinciri saldırılarının giderek daha karmaşık ve yaygın hale geldiği bir çağda, GitHub güvenliğini ihmal etmek hiçbir kuruluşun göze alamayacağı bir risktir.
yazar hakkında
GitGuardian’da Geliştirici Savunucusu olan Thomas Segura, çeşitli büyük Fransız şirketleri için hem analist hem de yazılım mühendisi danışmanı olarak çalıştı. Teknoloji ve açık kaynak tutkusu, onu GitGuardian’a teknik içerik yazarı olarak katılmaya yöneltti. Şimdi siber güvenlik ve yazılımın geçirdiği dönüştürücü değişiklikleri açıklamaya odaklanıyor.
Thomas’a çevrimiçi olarak şu adresten ulaşılabilir: https://www.gitguardian.com Twitter: https://twitter.com/GitGuardian ve LinkedIn: https://www.linkedin.com/company/gitguardian