Telefonunuzu hacklemenin maliyeti ne kadar olur? Bir iPhone için en iyi tahmin 0 ila 65.000 ABD Doları arasındadır ve bu fiyat esas olarak size bağlıdır. Gerçekten önemli bir güvenlik güncellemesini atladıysanız maliyeti 0 ABD dolarına yakındır.
Güncel olduğunuzu söyleyin. Bu 65.000 dolarlık rakam, ortalama bireyi sömürmenin üst maliyeti; Android’e, Mac’e ya da PC’ye geçin ve çok daha düşük bir maliyete düşebilir. Apple, iPhone’u güçlendirmek için muazzam kaynaklara yatırım yaptı. Bir hizmet yerine bireysel bir istismar için istenen fiyat 8 milyon dolara kadar çıkabiliyor. Bunu, TrendMicro araştırma raporuna (PDF) göre Adobe Acrobat gibi güvenlik açıklarıyla dolu bir PDF okuyucunun istismarının maliyetiyle karşılaştırın; bu tutar, TrendMicro araştırma raporuna (PDF) göre 250 ABD Doları ve üzeridir.
Belirli bir kişiyi hedeflemekten büyük bir şirketteki binlerce kişiden herhangi birini hedeflemeye geçin; bunun için sayısız yol vardır. Bir saldırganın yalnızca en ucuz olanı bulması gerekir.
Modern bir iPhone istismarının milyonlarca dolara satılması, Adobe Acrobat istismarının ise yüzlerce dolara satılması, Apple için kutlamaya ve başka yerlerde kopyalamaya değer olağanüstü bir başarıdır. Bu, büyük teknoloji şirketlerinin son 20 yılda yazılımdan yararlanma maliyetini artırmak için sessizce muazzam kaynaklar harcadığını yansıtıyor.
Sömürü Maliyetini Nasıl Artırırız?
En büyük teknoloji şirketlerinin dışında, yazılımın kötüye kullanılmasını zorlaştırma fikri çoğu zaman kaybedilmiş bir neden olarak görülüyor. Ağınızda bir solucanın dolaştığını hayal edin. 1000 ofis çalışanının bilgisayarlarını yeniden başlatmasını sağlamak zor olduğundan, solucanın ağ paketlerini engellemek için ağ çevresine bir güvenlik duvarı yerleştirirsiniz. Bu, solucanı dışarıda tutacaktır ancak ağa girdiğinde makineler hâlâ savunmasız durumdadır.
Modern yaklaşım (Forrester’ın öncülüğünü yaptığı sıfır güven), “çevrenin” zaten ihlal edildiğini varsaymaktır; dolayısıyla artık ağ konumundan bağımsız olarak her cihazın ve uygulamanın güçlendirilmesi gerekiyor. Nasıl? Yazılımın kendisinden yararlanma maliyetini artırarak.
Her ne kadar bu çok pahalı bir yaklaşım olarak görülse de popülerlik kazanıyor. Yazılımdan yararlanma maliyetini önemli ölçüde artıran ve bunları pahalı ya da piyasaya sürmeyi zorlaştıran bazı teknikler şunlardır:
- Tasarım gereği güvenli mimari: Açıklardan yararlanmaya yol açan ortak güvenlik açığı kalıplarının olasılığını tasarlamak. Bu inanılmaz derecede etkilidir ve iPhone mimarisinin genel halk tarafından yeterince takdir edilmeyen bir parçasıdır. Tasarım gereği güvenlik, Mozilla tarafından Firefox’ta güvenlik açıklarına neden olan programlama hatalarının olasılığını azaltmak için tasarlanan Rust gibi bir dilde olduğu gibi donanım katmanında veya dil katmanında gerçekleşebilir. Firefox 1998’de ve Rust 2018’de piyasaya sürüldü; Beş yıllık yoğun çalışmanın ardından Rust artık Firefox kodunun %10’unu oluşturuyor. Linux gibi bir işletim sisteminin tamamını taşımanın ne kadar çaba gerektireceğini hayal edin. Sıfırdan başlamadığınız sürece, tasarım gereği güvenliğin uygulanması zor ve yavaştır.
- Donanım ve işletim sistemi istismarlarının azaltılması: Tartışmalı olarak, bu daha çok bir çevredir, ancak yerleşikse etkili olabilir, çünkü uygulamayı yürütmek için bir işletim sistemi gerektirdiğinden, uygulamayı çevre dışında çalıştırmakla doğrudan bir karşılaştırma yoktur. Bu yaklaşım, 2000’li yılların başındaki sertleşmenin, özellikle de Linux’un yazma veya yürütmesinin ve Microsoft’un Veri Yürütme Engellemesinin büyük bir parçasıydı. Akış bütünlüğünün kontrol edilmesi gibi daha yeni yaklaşımlar teorik olarak sağlamdır, ancak çoğu zaman geliştiricilerin genellikle ödemek istemediği performans maliyetleri vardır.
- Güvenlik açıkları için ödeme yapın (hata ödülü olarak da bilinir): Belki de ironik bir şekilde, en ucuz tekniklerden biri bilgisayar korsanlarına bulduklarını paylaşmaları için para ödemektir. Teorik olarak, bilgisayar korsanları açıklardan satıcının ödeyeceğinden çok daha fazla para kazanabilir. Ancak pratikte, elde edilen değeri en üst düzeye çıkarmak çok fazla çalışma gerektirir ve bir bilgisayar korsanının etik ikilemlerle karşı karşıya kalmasına neden olabilir. Hata ödülleri, kurulum için çok az çalışma gerektirdiğinden, İnternet’e yönelik çok sayıda hizmete sahip şirketler için özellikle idealdir.
- Otomatik test araçları: 2000’li yılların başlarından itibaren, güvenlik sorunlarına yönelik otomatik testlerle ilgili birkaç girişim ortaya çıktı. Kodun koddaki hataları bulma fikri sezgisel görünebilir, ancak insan incelemecilerin derleyici aşaması analizinde kodlanması zor bir içeriğe sahip olması nedeniyle gürültüye açıktır. Uygulaması nispeten düşük sürtünme nedeniyle popüler olmaya devam ediyor: Geliştirme yaşam döngüsü boyunca ilerlerken kodu tarayan bir iş ayarlayın. Kodu derleme zamanında (SAST) ve çalışma zamanında (DAST) tarayan geniş bir araç pazarı vardır; Araçlarla ilgili en yaygın şikayet, yüksek miktarda yanlış pozitife sahip olmalarıdır.
- Manuel veya otomatik kod incelemeleri: Uzmanlığın daha kıdemli geliştiricilerden daha kıdemsiz geliştiricilere aktarılması veya basit anti-örüntüleri otomatik olarak bulan veya tiftikleyen araçların kullanılması. Bu orantısız derecede etkili olabilir. Kod inceleme otomasyonu, “güvenli korkuluklar” olarak adlandırılan, tasarım gereği güvenliğin daha az iddialı bir versiyonunu etkili bir şekilde uygulayabilir; burada, baştan sona yeniden mimari yerine, otomatikleştirilmiş yorumlar geliştiricilere, tüm bir güvenlik açıkları sınıfını önleyen yeni bir yola rehberlik eder.
Potansiyel Çözümler Nelerdir?
Geleceğin üç şeye ihtiyacı olduğuna inanıyorum. Birincisi, daha fazla güvenlik mühendisi ve mühendisliği: Geliştirme geçmişine sahip güvenlik mühendislerini işe almak ve mühendislik liderliğini elde etmek, yazılımdan yararlanma maliyetini artırma konseptini benimsemek. İkincisi, odağımızı tespit ve müdahaleyi kolaylaştıran araçlardan yararlanma maliyetini artıran araçlar oluşturmaya kaydırmak. Üçüncüsü, yalıtılmış, güvenlik merkezli bir dünyada yeni araçlar oluşturmak değil, geliştirici paydaşlarla birlikte çalışarak işin hızlı bir şekilde teslim edilmesi ihtiyaçlarını dikkate almak.
Yazılım dünyayı yiyor ve yazılımdan yararlanmak ucuz. Kesinlikle ilkini yavaşlatmayacağız, o yüzden ikincisini değiştirelim.