1 puan yazan GN⁺ 2024-07-22 | 1 yorum | WhatsApp'ta paylaş

Dijital dayanıklılığa ne oldu?

  • Dijital felaketin nedeni

    • Cuma günü havalimanlarını, hastaneleri ve TV yayın kuruluşlarını etkileyen dijital çöküşe bir yazılım güncellemesindeki hata neden oldu
    • Bunun nedeni düşman bir güç değil, ABD'nin kırılganlığını ortaya çıkaran bir olaydı
  • Neden toparlanmak zor?

    • Biden yönetimi, Rus ve Çinli hackerların saldırı senaryolarını simüle ediyordu
    • Ancak bu olay basit bir insan hatasından kaynaklandı
    • Karmaşık ağ sistemlerinde küçük bir hata büyük sorunlara yol açabilir
  • Siber savaşçıların tepkisi

    • Bu olayın ulusal düzeyde bir saldırı olmaması nedeniyle rahatlama yaşandı
    • Çin'in Volt Typhoon'u gibi kötü amaçlı yazılımları bulmak zor, kaldırmak ise daha da zordur
    • Bu olay, siber dayanıklılığın sınırlarını bir kez daha ortaya koydu
  • Kamu ve özel sektör iş birliği

    • Son yıllarda ABD, siber güvenlik sorunlarını ciddi biçimde ele almaya başladı
    • FBI, NSA, CISA gibi devlet kurumları, özel şirketlerle iş birliği yaparak zafiyetleri paylaşıyor ve hackerlara karşı uyarılarda bulunuyor
    • Başkan Biden, büyük olayları inceleyen bir Siber Güvenlik İnceleme Kurulu kurdu

GN⁺ Özeti

  • Bu olay, basit bir yazılım güncelleme hatası nedeniyle ortaya çıkan dijital bir çöküştü
  • Karmaşık ağ sistemlerinin zayıflıklarını ortaya koyarken, siber dayanıklılığın sınırlarını da gösteriyor
  • Kamu ve özel sektör iş birliği önemli; ayrıca büyük olayları inceleyen bir sisteme ihtiyaç var
  • Benzer işlevlere sahip ürün veya projeler arasında CrowdStrike gibi siber güvenlik yazılımları bulunuyor

1 yorum

 
GN⁺ 2024-07-22
Hacker News yorumları
  • Medyada gördüğüm yorumlarda, sık güvenlik yaması gerektiren bir işletim sisteminin en başta altyapıda kullanılmaması gerektiğinin neredeyse hiç söylenmemesi ilginç
    Havaalanındaki uçuş listesi ekranında mavi ekran çıkan bir fotoğraf da gördüm; bunların neden Linux ya da OpenBSD üzerinde yapılmadığını merak ediyorum
    Güvenlik sonradan eklenen bir özellik değil, baştan yerleşik olmalı; bugün Windows’un üzerine güvenlik kaplamaya çalışan koca bir endüstri oluşmuş durumda ama hâlâ düzgün çalışmıyor

    • Bunun nedeni büyük olasılıkla o yazılımı yapan tedarikçinin her zaman yalnızca Windows için geliştirmiş olması
      Aslında çoğu DOS ya da OS/2 için başlayıp NT4’e geçmiş olabilir; tarih, atalet, alışkanlık, maliyet ve destek kolaylığı hep rol oynuyor
      Güvenlik bir ürün değil, bir süreçtir; dağıtımlar da sık güncelleme gerektirir ama kurulu yazılım kapsamını azaltmak mümkündür
      Havaalanı gösterge cihazlarında MPEG2, VP1 gibi kodeklere ihtiyaç olmayacaktır
      Bu tür özel sistemlerde garaj yazılımı da çoktur; SAML/OIDC isteseniz bile düz metin LDAP ya da en iyi ihtimalle Active Directory desteklerler, güncel Apache Tomcat isteseniz de tedarikçi sorun çözemediği için 3 yıllık, açık içeren bir sürümü “destekler”
      CrowdStrike mavi ekranının nedeninin null pointer olduğu varsayımı doğruysa güvenli bir dil kullanmaları gerekirdi; bu durumda sorumluluğu CrowdStrike’a yüklemek kolay görünüyor
      Microsoft saçmalı tüfeği sağladı; namluyu kendi tarafına çevirmemek tedarikçinin sorumluluğu
    • Şu anda ön sayfada da CrowdStrike’ın birkaç ay önce Debian ve Rocky Linux’u bozduğu ama kimsenin fark etmediği hakkında bir yazı var
      https://news.ycombinator.com/item?id=41018029
    • “Sık güvenlik güncellemesi alan işletim sistemi” aslında iyi bir işarettir
      Çünkü sorunların gündeme getirildiği ve risklerin azaltıldığı anlamına gelir
      Güvenlik bir onay kutusu değil, ortam sürekli değiştiği için bitmeyen bir sürece daha yakındır; güncelleme almayan ya da sık yenilenmeyen bir işletim sistemi daha iyi değildir
      İstenen şey, işletim sistemini kararsızlaştırmayan güncellemelerdir; bunun arkasında da her kurumun bu cihazları işletirken biriktirdiği muazzam karar katmanları vardır
      Güvenlik katmanlı tasarlanmalı ve yerleşik olmalı
      “Çalışmıyor” demektense, uzun süre sessiz kaldığı için çalışagelmiş olduğunu ve insanların yalnızca başarısız olayları görünür şekilde fark ettiğini söylemek daha doğru
    • Havaalanı çalışanlarının destekleyebilmesi gerekir; yalnızca HN tarzı insanların yönetebileceği bir şey olmamalı
      Çoğu kişi Windows bilgisayar kullanmayı bilir; masaüstü IT destek ekipleri de Windows yönetimine alışkındır, bina tesis ekipleri de bir ölçüde yardımcı olabilir
      Microsoft bilgisayar kümelerini yönetmeyi kolaylaştırır; kendi eğitim ve sertifikalarının yanı sıra çok sayıda üçüncü taraf eğitim de sunar
      Windows fiilen iş amaçlı standart makinedir ve çoğu dijital tabela şirketi de Windows kullanır
      BSD bilen birini bulmak kolay değildir
    • Birçok CTO/CISO için istikrarlı ve güvenli bir sistemden çok, işler ters gittiğinde sorumluluğu aktarabilecekleri iyi bir hedef daha önemlidir
      Büyük Marka iyi bir hedeftir, ancak OpenBSD gibi açık kaynak projeleri öyle değildir
      Milyonlarca dolar zarar olsa bile Linux/BSD yerine Windows+CrowdStrike’ı seçtiği için bir CTO’nun kovulma ihtimali düşük görünüyor
      “IBM satın aldığı için kimse kovulmadı” sözü, en azından kurumsal dünyada hâlâ geçerli
  • “Dijital dayanıklılık” diye bir şeyin gerçekten var olup olmadığını, varsa da ne zaman var olduğunu merak ediyorum.
    Bu karmaşayı bir düşman yaratmadı ama kritik bir anda ABD’nin zayıflık haritasını sunmuş oldu.
    ABD ile arası iyi olmayan tarafların zaten bu tür zayıflık haritaları çıkarıp stokluyor olma ihtimali yüksek.
    ABD’nin ve diğer ülkelerin bu tehditlere gevşek yaklaşması ve zayıflıkları daha fazla güçlendirmemesi şaşırtıcı ama bir yandan da çok açık.
    Maliyet de bir etken, ama bence daha büyük etken kolaylık.
    Sistemleri zayıflıklara karşı güçlendirdiğinizde daha az konforlu ve kullanımı daha zor hâle gelir; insanlar da hemen tepki gösterir.
    Microsoft, Windows’u, özellikle de Windows 95’i çıkarırken uzman olmayan kullanıcıları kazanmak için her şeyin tıklamayla kolayca yapılmasını sağladı; güvenlik yeterince dikkate alınmadı.
    Virüsler, zafiyetler ve ihlaller kontrolden çıkınca kısıtlamalar getirildi ve kullanıcılar alıştıkları özgürlüğü daha az yaşamaya başladı.
    Microsoft dünyayı gevşek bir işletim tarzına alıştırdı; bunu geri çevirmeye yönelik girişimler de o günden beri sürekli kullanıcı direnciyle karşılaştı.
    Windows 95 çıkmadan önce bile kolayca öngörülebilecek büyük bir sorunun içinde sıkışmış durumdayız ve bunu düzeltmek son derece zor olacak.

    • Charlie Munger’ın “bana teşvikleri gösterin, size sonucu göstereyim” sözü doğru.
      Şirketleri güvenli, yedekli ve güvenilir bilgisayar sistemleri işletmeleri için ödüllendirmiyoruz; 90 gün önce Lower Manhattan’daki bir analistin belirlediği beklentiyi gelir tablosunun en altındaki rakamın aşması için ödüllendiriyoruz.
      ABD’de toplumun yaptığı işlerin çoğunu şirketler yürüttüğü için kritik sistemler de böyle tasarlanıyor.
      Bu iş mahkemeye taşınıp CrowdStrike’ın 19 Temmuz’dan itibaren müşterilerine verdiği zararı tazmin etmek için satın alınması gerekebilir; ama bu yıllar alacak ve davacılar yalnızca sembolik tazminat alabilir ya da hiç tazminat alamayabilir.
      O zamana kadar piyasa hedge edecek, düzenleyicileri ele geçirecek, kayıpları kesip yoluna devam edecek.
      Varlıklar, bunu “yaratıcı yıkım” olarak görenler tarafından kelepir fiyata satın alınacak; insanların hayatlarının tehlikeye atılmış olması umurlarında olmayacak.
      Ve döngü devam edecek.
    • Ukrayna’nın deneyimini incelemek çok faydalı olur; hatta muhtemelen şimdiden faydalı olmuştur.
      Neredeyse tüm kritik altyapı yıllardır siber saldırı altında; sistemler çöktü, kesintiler oldu ama uyum sağladılar.
      Bazen düşük teknolojili çözümlere geri döndüler, bazen de dayanıklılığı olan yeni sistemler kurup eskilerini kaldırdılar.
      Sorun somut ve acil olduğunda bunu politik olarak gerekçelendirmek de çok daha kolay.
      Gerilim tırmanmaya başladığında ABD’nin attığı ilk adımlardan birinin, kilitlemeleri ve sızmaları temizlemeye yardımcı olmak üzere NSA siber güvenlik uzmanlarından oluşan bir ekip göndermek olduğunu hatırlıyorum.
    • “Siber kurumlar” saldırıya odaklanır.
      Çünkü puan toplamak ve bir şey yapıyormuş gibi görünmek daha kolaydır.
      Savunma ise sayısız eski endpoint’i korumak ya da kârlı dev şirketleri daha az kırılgan ama daha az profitable işler yapmaya ikna etmek gibi sıkıcı bir iştir.
    • En azından 90’larda ve 2000’lerin başında, önemli bir şeyi internete bağlasaydınız toplantı odasında alaya alınır ve hemen kovulurdunuz.
    • Uzun süre hedef dayanıklılıktı; bulut SaaS ve otomatik güncellemeler her şeyi ele geçirmeden önce daha dayanıklı olduğumuzu düşünüyorum.
      Yazılım kurulumlarının özel ağların içinde olduğu, makinelerin ve topolojinin temelden farklı yapıda bulunduğu, kalitesi düşük olsa bile çeşitli yazılımların kullanıldığı dönem bugüne göre çok daha sağlamdı.
      Şimdi AWS gibi tek bir hizmetteki arıza birçok şirketi durdurabiliyor; bunun gibi kötü bir güncelleme herkesi anında etkiliyor ve domino etkisi yaratıyor.
      Eskiden bu tür şeyler yaygın değildi.
      Kolektif mimarimizi birkaç en iyi uygulama aracına yoğunlaştırdık; bu da yalnızca dijital saldırılar için değil, yanlış yapılandırma, yönetim hatası, şirket başarısızlığı, tükenmiş düşük ücretli mühendisler ve optimizasyon gibi şeyler için de tek hata noktası hâline geliyor.
      Sistem güçlendirmenin mutlaka daha az kullanışlı hâle getirdiği görüşüne katılmıyorum.
      Son 10 yılda güvenlik sektörü tam tersine hareket etti; aşırı katı güvenliğin kullanıcıları basit ve öngörülebilir dolambaçlı yollar bulmaya ittiğini ve bunun genel güvenlik duruşunu zayıflattığını fark etti.
      Parolalarla ilgili NIST tavsiyelerindeki değişime bakmak yeterli.
      90 günde bir değiştirme, önceki 10 paroladan farklı olma ve karmaşıklık gereksinimleri varsa kullanıcılar minimum uzunlukta, öngörülebilir kalıplar kullanır ve sadece sonuna sayı ekler.
      Yeniden kullanımı kontrol etmek için saklanan eski parola hash’leri, bir ihlal durumunda saldırgana her kullanıcının kalıbını gösteren bir yük hâline gelir.
      Günümüzde son kullanıcı için neredeyse tamamen ya da tamamen görünmez olan kullanılabilir güvenlik çok daha fazla dağıtılıyor.
      Eski web sitelerindeki CAPTCHA’lar yaygın ve berbattı, ayrıca atlatması da kolaydı; Cloudflare ve Google’ın CAPTCHA çözümleri ise oldukça şeffaf ve çok daha etkili.
      Microsoft’un genel ve sürekli gevşekliğinin kötü güvenlik uygulamalarına katkıda bulunduğu doğru; ama o ekosistem, doğası gereği istikrarsız ortam nedeniyle tuhaf yönlere sahipti ve kısa bir zirve dönemi dışında internet altyapısının temel dayanağı neredeyse hiç olmadı.
      Ne yazık ki kurumsal altyapıda temel dayanak oldu ve kullanılabilir ya da şeffaf güvenlik konusundaki mesajı hiç almamış gibi görünüyor.
      Umarım şimdi perde arkasında da olsa bunun için çalışıyorlardır.
  • Çarpık bir şekilde de olsa CrowdStrike, Batı medeniyetine felaket kurtarma ve dayanıklılık için zorunlu bir test yaptırmış oldu
    Gerçek bir saldırı bir saat içinde geri alınmazdı
    Bu kadar çok şirkete, devlete ve kaynağa büyük ölçekli erişimi olan tek şirket CrowdStrike değil
    İçeriden biri disk silici dağıtıp yalnızca Windows’u değil Linux ve macOS bilgisayarları da yok ederse, etkilenen sistemler hiç kurtarılamayabilir
    Böyle bir durumda kritik sistemlerin yeniden çevrimiçi olması aylar alır ve dünya ekonomisi COVID döneminden daha sert biçimde durabilir
    Mesele elbette “CrowdStrike neden daha iyisini yapmadı” ama daha büyük soru, kritik sistemlerin teknolojisinin neden tek bir tedarikçinin hatasına veya hacklenmesine karşı daha dayanıklı olmadığı
    Örneğin bir önyükleme döngüsü yerine bir disk silici tüm önyükleme disklerini silmiş olsaydı, sunucular, ATM’ler, kiosklar, POS cihazları vb. için PXE önyükleme kurtarma imajlarının veya yedek imajların önceden yapılandırılamaması için bir neden var mı diye merak ediyorum
    UEFI ve BIOS bile silinse, otomatik kurtarma mekanizmaları uygulamak teknik olarak imkânsız değil gibi geliyor
    IT ve güvenlik olay müdahalesinde kök neden analizi yapmadıysanız daha derin düşünememenizi anlarım; ancak fidye yazılımı, disk siliciler ve tedarik zinciri riskleri 10 yılı aşkın süredir yaygınken eksik kalan kök neden analizi tam da bu türden
    Suçlayacak birini bulmak ve öfkelenmek kolaydır ama kök nedeni çözmez
    Zor teknik kararlar almak, iyi bir krizi boşa harcamamak ve dayanıklı teknoloji yatırımlarını zorlamak, bu sorunun ve tekrar eden sorunların kök nedenini gerçekten çözer

    • Firmware tamamen uçarsa yedek firmware gerekir
      Bir noktada bunları kurtarılamaz hâle getirmek mümkün, ama asıl çözülmesi gereken sorun bu değil
      Bir adım daha ileri gidersek, güvenliğe yapılan vurgu dayanıklılık tartışmasının pahasına oluyor
      Özellikle finansal açıdan dayanıklılık güvenlikten çok daha önemli
  • Bu onlarca yıldır açık bir sır
    Büyük OS ve tarayıcı tedarikçileri çok az sayıda, sürekli yamalar yayımlıyorlar; çoğu yazılımın tedarik zinciri ise o kadar geniş ki herhangi bir şeyi denetlemek fiilen imkânsız, gerçekten güvenli diye sertifikalandırmak da zor
    “Güvenlik” yazılımı yalnızca saldırı yüzeyini genişletir
    Sektördeki herkesin bildiği bir şeydi; NYT’nin şimdi yetişmesi ilginç

    • NYT bunu dün yaşanan büyük olay nedeniyle ve bir haber şirketi olduğu için ele alıyor olabilir
  • ABD dışındaki bir şirket için bu CrowdStrike hizmetini kullanmak bence delilik
    FBI, gizli emirlerle CrowdStrike’ı altyapıya DLL enjekte etmeye zorlayabilir
    https://en.wikipedia.org/wiki/United_States_Foreign_Intelligence_Surveillance_Court

    • Bunun doğru olduğundan emin değilim
      Anladığım kadarıyla ABD hükümeti şirketlere veri teslim etmelerini emredebilir, ama fiilen bir iş yapmaya zorlayamaz
      San Bernardino saldırısından sonra hükümet ile Apple arasındaki anlaşmazlığın özü de buydu ve Apple’ın yardım sağlamayı reddetme konusunda yasal hakkı vardı
      https://en.wikipedia.org/wiki/Apple%E2%80%93FBI_encryption_dispute
      NSA ve CIA’in arka kapı yerleştirmek için dizüstü bilgisayar ve telefon teslimatlarını ele geçirip işi bizzat yapacak noktaya kadar gitmiş olması da, bu tür eylemleri zorla yaptırabilecekleri fikrinin tersini ima ediyor
    • Gerçek dünyada FBI paranoyasından çok PCI DSS uyumluluğu daha önemli
    • Microsoft’a aynı şeyi yapan bir “güncelleme”yi zorla yayımlatamayacaklarını ya da yayımlatmadıklarını mı düşündüğünüzü merak ediyorum
  • Dün aileme, gerçek bir savaşa girersek 8 saat içinde her şeyin çalışmayı durduracağını söyledim
    Nakit ve kâğıt işlerine geri döneriz ama bu acılı ve yavaş olur

  • Gereken şey “çeşitlilik”; elbette marjinalleştirilmiş gruplar anlamındaki çeşitlilik değil
    Daha fazla kritik ekipman farklı OS’ler çalıştırsaydı zarar sınırlı kalırdı
    “Monokültür” riskinden genelde bitkiler için söz edilir, ama aynı risk bilişim altyapısı için de geçerli

    • Zaten bir ölçüde durum böyle
      Medeniyetin çökmediği gerçeği, Windows ve CrowdStrike kullanmayan çok büyük miktarda altyapı olduğunun kanıtı
    • Bundan daha da anlaşılmaz olan, son derece kritik sistemler işleten kuruluşların sorumlularının üçüncü taraf yazılım sağlayıcısının istediği zaman yama gönderebilmesi fikrini kabul etmiş olmaları
      Biraz sert söylemek gerekirse, CrowdStrike’tan etkilenen şirketlerin de dünkü olayda sorumluluğun bir kısmını paylaştığını düşünüyorum
    • Daha fazla kritik ekipman farklı OS’ler kullansa bile aynı CrowdStrike’ı çalıştırıyorsa zarar sınırlı kalmazdı
    • Tam olarak öyle değil
      CrowdStrike bu alandaki 1 numaralı şirket bile değil; bu olay ağ etkisi nedeniyle yaşandı
      Bu düzeyde güvenlik elde etmek için gereken platform sayısı gerçekçi olmayacak kadar fazla olurdu
  • Dünya genelinde Windows cihazlarında CrowdStrike çalıştıran şirketlerde büyük çaplı bilgisayar arızaları yaşandı
    CrowdStrike, hack’lere karşı koruma yazılımı olarak satılıyor; ama gerçekte C-seviye yöneticilerin çalışan davranışlarını izlemek için kullandığı popüler bir yazılım
    Çok yüksek yetkilerle kuruluyor ve tasarım gereği düzeltilmesi ya da kaldırılması zor olacak şekilde yapılmış
    Bunun gerçekten birilerine bir ders verip vermeyeceğini merak ediyorum

    • Ders verecek gibi görünüyor
      Microsoft, etkilenen cihaz sayısının 8,5 milyon olduğunu açıkladı; buna inanmak zor, ama bizim gibi görece orta ölçekli bir organizasyonda bile müdahale için harcanan çabaya bakınca “çalışanların yarısı uzaktan çalışıyorken bu cihazlara nasıl erişeceğiz?” gibi çok basit sorular ortaya çıkıyor
      Yanıt her zaman “bunu yaparsak maliyeti ne olur?” idi; ama artık denklemin diğer tarafındaki sayı, yani “yapmazsak maliyeti ne olur?” da var
    • İzleme işlevi hakkında daha ayrıntılı bilgiye ihtiyacım var
      Ekran görüntüsü olsa iyi olurdu
  • “Umut tamamen yok değil” diyerek Google’dan Kent Walker’ın, yapay zekanın güvenlik açıklarını tespit etme, delikleri yamama ve kod kalitesini iyileştirme konusunda anlamlı ilerlemeler sağlayabileceğini söylediği kısma katılmıyorum
    Tek umut belirsiz yapay zeka vaatleri ise, bence gerçekte umut yok demektir

    • Doğru
      Bu, okul saldırılarını önlemenin en iyi yolunun öğretmenlere silah vermek olduğunu söylemeye benziyor
      Yapay zekanın, aşamalı dağıtım stratejisinin maliyetine değeceği konusunda CrowdStrike yönetimini daha iyi ikna edeceğini sanmıyorum
      Bu tür sorunlara teknoloji değil insanlar yol açtığı için, daha fazla teknoloji eklemek bunları çözmez