Google, Amazon, Microsoft, ve Cloudflare bu hafta, Ağustos ve Eylül aylarında bulut altyapılarına yönelik devasa, rekor kıran dağıtılmış hizmet reddi saldırılarıyla mücadele ettiklerini açıkladı. Saldırganların bir hizmeti gereksiz trafikle boğarak onu çökertmeye çalıştıkları DDoS saldırıları klasik bir internet tehdididir ve bilgisayar korsanları bunları daha büyük veya daha etkili kılmak için her zaman yeni stratejiler geliştirir. Ancak son saldırılar özellikle dikkat çekiciydi çünkü bilgisayar korsanları bunları temel bir web protokolündeki bir güvenlik açığından yararlanarak oluşturdular. Bu, yama çalışmaları devam ederken, bu saldırıların tamamen ortadan kaldırılabilmesi için düzeltmelerin esasen küresel olarak her web sunucusuna ulaşması gerektiği anlamına geliyor.
“HTTP/2 Hızlı Sıfırlama” olarak adlandırılan güvenlik açığı yalnızca hizmet reddi amacıyla kullanılabilir; saldırganların bir sunucuyu uzaktan ele geçirmesine veya verilere sızmasına izin vermez. Ancak bir saldırının büyük sorunlara yol açması için süslü olması gerekmez; kritik altyapıdan önemli bilgilere kadar her türlü dijital hizmete erişim için kullanılabilirlik hayati önem taşır.
Google Cloud’dan Emil Kiner ve Tim April bu hafta şunları yazdı: “DDoS saldırıları, kurban kuruluşlar üzerinde iş kaybı ve kritik görev uygulamalarının kullanılamaması dahil olmak üzere geniş kapsamlı etkilere sahip olabilir.” “DDoS saldırılarından kurtulma süresi, saldırının sonunun çok ötesine uzanabilir.”
Durumun bir başka yönü de güvenlik açığının nereden geldiğidir. Hızlı Sıfırlama, belirli bir yazılım parçasında değil, web sayfalarını yüklemek için kullanılan HTTP/2 ağ protokolünün spesifikasyonunda bulunur. İnternet Mühendisliği Görev Gücü (IETF) tarafından geliştirilen HTTP/2, yaklaşık sekiz yıldır ortalıkta dolaşıyor ve klasik internet protokolü HTTP’nin daha hızlı, daha verimli halefidir. HTTP/2 mobil cihazlarda daha iyi çalışır ve daha az bant genişliği kullanır, bu nedenle oldukça geniş çapta benimsenmiştir. IETF şu anda HTTP/3’ü geliştiriyor.
Cloudflare’den Lucas Pardue ve Julien Desgats bu hafta şunları yazdı: “Saldırı, HTTP/2 protokolündeki temel zayıflığı kötüye kullandığından, HTTP/2 uygulayan herhangi bir sağlayıcının saldırıya maruz kalacağına inanıyoruz.” Hızlı Sıfırlamadan etkilenmeyen az sayıda uygulama var gibi görünse de Pardue ve Desgats, sorunun genel olarak “her modern web sunucusuyla” ilgili olduğunu vurguluyor.
Microsoft tarafından yamanan bir Windows hatasından veya Apple tarafından yamanan bir Safari hatasından farklı olarak, bir protokoldeki kusur tek bir merkezi kuruluş tarafından düzeltilemez çünkü her web sitesi standardı kendi yöntemiyle uygular. Büyük bulut hizmetleri ve DDoS savunma sağlayıcıları hizmetleri için düzeltmeler oluşturduğunda, altyapılarını kullanan herkesin korunmasına yönelik uzun bir yol kat edilmiş olur. Ancak kendi web sunucularını çalıştıran kuruluşların ve bireylerin kendi korumalarını geliştirmeleri gerekir.