CrowdStrike olayı, düşmanlara ABD'nin zayıf noktalarını ortaya koyan bir yol haritası sağlıyor
(nytimes.com)Dijital dayanıklılığa ne oldu?
-
Dijital felaketin nedeni
- Cuma günü havalimanlarını, hastaneleri ve TV yayın kuruluşlarını etkileyen dijital çöküşe bir yazılım güncellemesindeki hata neden oldu
- Bunun nedeni düşman bir güç değil, ABD'nin kırılganlığını ortaya çıkaran bir olaydı
-
Neden toparlanmak zor?
- Biden yönetimi, Rus ve Çinli hackerların saldırı senaryolarını simüle ediyordu
- Ancak bu olay basit bir insan hatasından kaynaklandı
- Karmaşık ağ sistemlerinde küçük bir hata büyük sorunlara yol açabilir
-
Siber savaşçıların tepkisi
- Bu olayın ulusal düzeyde bir saldırı olmaması nedeniyle rahatlama yaşandı
- Çin'in Volt Typhoon'u gibi kötü amaçlı yazılımları bulmak zor, kaldırmak ise daha da zordur
- Bu olay, siber dayanıklılığın sınırlarını bir kez daha ortaya koydu
-
Kamu ve özel sektör iş birliği
- Son yıllarda ABD, siber güvenlik sorunlarını ciddi biçimde ele almaya başladı
- FBI, NSA, CISA gibi devlet kurumları, özel şirketlerle iş birliği yaparak zafiyetleri paylaşıyor ve hackerlara karşı uyarılarda bulunuyor
- Başkan Biden, büyük olayları inceleyen bir Siber Güvenlik İnceleme Kurulu kurdu
GN⁺ Özeti
- Bu olay, basit bir yazılım güncelleme hatası nedeniyle ortaya çıkan dijital bir çöküştü
- Karmaşık ağ sistemlerinin zayıflıklarını ortaya koyarken, siber dayanıklılığın sınırlarını da gösteriyor
- Kamu ve özel sektör iş birliği önemli; ayrıca büyük olayları inceleyen bir sisteme ihtiyaç var
- Benzer işlevlere sahip ürün veya projeler arasında CrowdStrike gibi siber güvenlik yazılımları bulunuyor
1 yorum
Hacker News yorumları
Medyada gördüğüm yorumlarda, sık güvenlik yaması gerektiren bir işletim sisteminin en başta altyapıda kullanılmaması gerektiğinin neredeyse hiç söylenmemesi ilginç
Havaalanındaki uçuş listesi ekranında mavi ekran çıkan bir fotoğraf da gördüm; bunların neden Linux ya da OpenBSD üzerinde yapılmadığını merak ediyorum
Güvenlik sonradan eklenen bir özellik değil, baştan yerleşik olmalı; bugün Windows’un üzerine güvenlik kaplamaya çalışan koca bir endüstri oluşmuş durumda ama hâlâ düzgün çalışmıyor
Aslında çoğu DOS ya da OS/2 için başlayıp NT4’e geçmiş olabilir; tarih, atalet, alışkanlık, maliyet ve destek kolaylığı hep rol oynuyor
Güvenlik bir ürün değil, bir süreçtir; dağıtımlar da sık güncelleme gerektirir ama kurulu yazılım kapsamını azaltmak mümkündür
Havaalanı gösterge cihazlarında MPEG2, VP1 gibi kodeklere ihtiyaç olmayacaktır
Bu tür özel sistemlerde garaj yazılımı da çoktur; SAML/OIDC isteseniz bile düz metin LDAP ya da en iyi ihtimalle Active Directory desteklerler, güncel Apache Tomcat isteseniz de tedarikçi sorun çözemediği için 3 yıllık, açık içeren bir sürümü “destekler”
CrowdStrike mavi ekranının nedeninin null pointer olduğu varsayımı doğruysa güvenli bir dil kullanmaları gerekirdi; bu durumda sorumluluğu CrowdStrike’a yüklemek kolay görünüyor
Microsoft saçmalı tüfeği sağladı; namluyu kendi tarafına çevirmemek tedarikçinin sorumluluğu
https://news.ycombinator.com/item?id=41018029
Çünkü sorunların gündeme getirildiği ve risklerin azaltıldığı anlamına gelir
Güvenlik bir onay kutusu değil, ortam sürekli değiştiği için bitmeyen bir sürece daha yakındır; güncelleme almayan ya da sık yenilenmeyen bir işletim sistemi daha iyi değildir
İstenen şey, işletim sistemini kararsızlaştırmayan güncellemelerdir; bunun arkasında da her kurumun bu cihazları işletirken biriktirdiği muazzam karar katmanları vardır
Güvenlik katmanlı tasarlanmalı ve yerleşik olmalı
“Çalışmıyor” demektense, uzun süre sessiz kaldığı için çalışagelmiş olduğunu ve insanların yalnızca başarısız olayları görünür şekilde fark ettiğini söylemek daha doğru
Çoğu kişi Windows bilgisayar kullanmayı bilir; masaüstü IT destek ekipleri de Windows yönetimine alışkındır, bina tesis ekipleri de bir ölçüde yardımcı olabilir
Microsoft bilgisayar kümelerini yönetmeyi kolaylaştırır; kendi eğitim ve sertifikalarının yanı sıra çok sayıda üçüncü taraf eğitim de sunar
Windows fiilen iş amaçlı standart makinedir ve çoğu dijital tabela şirketi de Windows kullanır
BSD bilen birini bulmak kolay değildir
Büyük Marka iyi bir hedeftir, ancak OpenBSD gibi açık kaynak projeleri öyle değildir
Milyonlarca dolar zarar olsa bile Linux/BSD yerine Windows+CrowdStrike’ı seçtiği için bir CTO’nun kovulma ihtimali düşük görünüyor
“IBM satın aldığı için kimse kovulmadı” sözü, en azından kurumsal dünyada hâlâ geçerli
“Dijital dayanıklılık” diye bir şeyin gerçekten var olup olmadığını, varsa da ne zaman var olduğunu merak ediyorum.
Bu karmaşayı bir düşman yaratmadı ama kritik bir anda ABD’nin zayıflık haritasını sunmuş oldu.
ABD ile arası iyi olmayan tarafların zaten bu tür zayıflık haritaları çıkarıp stokluyor olma ihtimali yüksek.
ABD’nin ve diğer ülkelerin bu tehditlere gevşek yaklaşması ve zayıflıkları daha fazla güçlendirmemesi şaşırtıcı ama bir yandan da çok açık.
Maliyet de bir etken, ama bence daha büyük etken kolaylık.
Sistemleri zayıflıklara karşı güçlendirdiğinizde daha az konforlu ve kullanımı daha zor hâle gelir; insanlar da hemen tepki gösterir.
Microsoft, Windows’u, özellikle de Windows 95’i çıkarırken uzman olmayan kullanıcıları kazanmak için her şeyin tıklamayla kolayca yapılmasını sağladı; güvenlik yeterince dikkate alınmadı.
Virüsler, zafiyetler ve ihlaller kontrolden çıkınca kısıtlamalar getirildi ve kullanıcılar alıştıkları özgürlüğü daha az yaşamaya başladı.
Microsoft dünyayı gevşek bir işletim tarzına alıştırdı; bunu geri çevirmeye yönelik girişimler de o günden beri sürekli kullanıcı direnciyle karşılaştı.
Windows 95 çıkmadan önce bile kolayca öngörülebilecek büyük bir sorunun içinde sıkışmış durumdayız ve bunu düzeltmek son derece zor olacak.
Şirketleri güvenli, yedekli ve güvenilir bilgisayar sistemleri işletmeleri için ödüllendirmiyoruz; 90 gün önce Lower Manhattan’daki bir analistin belirlediği beklentiyi gelir tablosunun en altındaki rakamın aşması için ödüllendiriyoruz.
ABD’de toplumun yaptığı işlerin çoğunu şirketler yürüttüğü için kritik sistemler de böyle tasarlanıyor.
Bu iş mahkemeye taşınıp CrowdStrike’ın 19 Temmuz’dan itibaren müşterilerine verdiği zararı tazmin etmek için satın alınması gerekebilir; ama bu yıllar alacak ve davacılar yalnızca sembolik tazminat alabilir ya da hiç tazminat alamayabilir.
O zamana kadar piyasa hedge edecek, düzenleyicileri ele geçirecek, kayıpları kesip yoluna devam edecek.
Varlıklar, bunu “yaratıcı yıkım” olarak görenler tarafından kelepir fiyata satın alınacak; insanların hayatlarının tehlikeye atılmış olması umurlarında olmayacak.
Ve döngü devam edecek.
Neredeyse tüm kritik altyapı yıllardır siber saldırı altında; sistemler çöktü, kesintiler oldu ama uyum sağladılar.
Bazen düşük teknolojili çözümlere geri döndüler, bazen de dayanıklılığı olan yeni sistemler kurup eskilerini kaldırdılar.
Sorun somut ve acil olduğunda bunu politik olarak gerekçelendirmek de çok daha kolay.
Gerilim tırmanmaya başladığında ABD’nin attığı ilk adımlardan birinin, kilitlemeleri ve sızmaları temizlemeye yardımcı olmak üzere NSA siber güvenlik uzmanlarından oluşan bir ekip göndermek olduğunu hatırlıyorum.
Çünkü puan toplamak ve bir şey yapıyormuş gibi görünmek daha kolaydır.
Savunma ise sayısız eski endpoint’i korumak ya da kârlı dev şirketleri daha az kırılgan ama daha az profitable işler yapmaya ikna etmek gibi sıkıcı bir iştir.
Yazılım kurulumlarının özel ağların içinde olduğu, makinelerin ve topolojinin temelden farklı yapıda bulunduğu, kalitesi düşük olsa bile çeşitli yazılımların kullanıldığı dönem bugüne göre çok daha sağlamdı.
Şimdi AWS gibi tek bir hizmetteki arıza birçok şirketi durdurabiliyor; bunun gibi kötü bir güncelleme herkesi anında etkiliyor ve domino etkisi yaratıyor.
Eskiden bu tür şeyler yaygın değildi.
Kolektif mimarimizi birkaç en iyi uygulama aracına yoğunlaştırdık; bu da yalnızca dijital saldırılar için değil, yanlış yapılandırma, yönetim hatası, şirket başarısızlığı, tükenmiş düşük ücretli mühendisler ve optimizasyon gibi şeyler için de tek hata noktası hâline geliyor.
Sistem güçlendirmenin mutlaka daha az kullanışlı hâle getirdiği görüşüne katılmıyorum.
Son 10 yılda güvenlik sektörü tam tersine hareket etti; aşırı katı güvenliğin kullanıcıları basit ve öngörülebilir dolambaçlı yollar bulmaya ittiğini ve bunun genel güvenlik duruşunu zayıflattığını fark etti.
Parolalarla ilgili NIST tavsiyelerindeki değişime bakmak yeterli.
90 günde bir değiştirme, önceki 10 paroladan farklı olma ve karmaşıklık gereksinimleri varsa kullanıcılar minimum uzunlukta, öngörülebilir kalıplar kullanır ve sadece sonuna sayı ekler.
Yeniden kullanımı kontrol etmek için saklanan eski parola hash’leri, bir ihlal durumunda saldırgana her kullanıcının kalıbını gösteren bir yük hâline gelir.
Günümüzde son kullanıcı için neredeyse tamamen ya da tamamen görünmez olan kullanılabilir güvenlik çok daha fazla dağıtılıyor.
Eski web sitelerindeki CAPTCHA’lar yaygın ve berbattı, ayrıca atlatması da kolaydı; Cloudflare ve Google’ın CAPTCHA çözümleri ise oldukça şeffaf ve çok daha etkili.
Microsoft’un genel ve sürekli gevşekliğinin kötü güvenlik uygulamalarına katkıda bulunduğu doğru; ama o ekosistem, doğası gereği istikrarsız ortam nedeniyle tuhaf yönlere sahipti ve kısa bir zirve dönemi dışında internet altyapısının temel dayanağı neredeyse hiç olmadı.
Ne yazık ki kurumsal altyapıda temel dayanak oldu ve kullanılabilir ya da şeffaf güvenlik konusundaki mesajı hiç almamış gibi görünüyor.
Umarım şimdi perde arkasında da olsa bunun için çalışıyorlardır.
Çarpık bir şekilde de olsa CrowdStrike, Batı medeniyetine felaket kurtarma ve dayanıklılık için zorunlu bir test yaptırmış oldu
Gerçek bir saldırı bir saat içinde geri alınmazdı
Bu kadar çok şirkete, devlete ve kaynağa büyük ölçekli erişimi olan tek şirket CrowdStrike değil
İçeriden biri disk silici dağıtıp yalnızca Windows’u değil Linux ve macOS bilgisayarları da yok ederse, etkilenen sistemler hiç kurtarılamayabilir
Böyle bir durumda kritik sistemlerin yeniden çevrimiçi olması aylar alır ve dünya ekonomisi COVID döneminden daha sert biçimde durabilir
Mesele elbette “CrowdStrike neden daha iyisini yapmadı” ama daha büyük soru, kritik sistemlerin teknolojisinin neden tek bir tedarikçinin hatasına veya hacklenmesine karşı daha dayanıklı olmadığı
Örneğin bir önyükleme döngüsü yerine bir disk silici tüm önyükleme disklerini silmiş olsaydı, sunucular, ATM’ler, kiosklar, POS cihazları vb. için PXE önyükleme kurtarma imajlarının veya yedek imajların önceden yapılandırılamaması için bir neden var mı diye merak ediyorum
UEFI ve BIOS bile silinse, otomatik kurtarma mekanizmaları uygulamak teknik olarak imkânsız değil gibi geliyor
IT ve güvenlik olay müdahalesinde kök neden analizi yapmadıysanız daha derin düşünememenizi anlarım; ancak fidye yazılımı, disk siliciler ve tedarik zinciri riskleri 10 yılı aşkın süredir yaygınken eksik kalan kök neden analizi tam da bu türden
Suçlayacak birini bulmak ve öfkelenmek kolaydır ama kök nedeni çözmez
Zor teknik kararlar almak, iyi bir krizi boşa harcamamak ve dayanıklı teknoloji yatırımlarını zorlamak, bu sorunun ve tekrar eden sorunların kök nedenini gerçekten çözer
Bir noktada bunları kurtarılamaz hâle getirmek mümkün, ama asıl çözülmesi gereken sorun bu değil
Bir adım daha ileri gidersek, güvenliğe yapılan vurgu dayanıklılık tartışmasının pahasına oluyor
Özellikle finansal açıdan dayanıklılık güvenlikten çok daha önemli
Bu onlarca yıldır açık bir sırdı
Büyük OS ve tarayıcı tedarikçileri çok az sayıda, sürekli yamalar yayımlıyorlar; çoğu yazılımın tedarik zinciri ise o kadar geniş ki herhangi bir şeyi denetlemek fiilen imkânsız, gerçekten güvenli diye sertifikalandırmak da zor
“Güvenlik” yazılımı yalnızca saldırı yüzeyini genişletir
Sektördeki herkesin bildiği bir şeydi; NYT’nin şimdi yetişmesi ilginç
ABD dışındaki bir şirket için bu CrowdStrike hizmetini kullanmak bence delilik
FBI, gizli emirlerle CrowdStrike’ı altyapıya DLL enjekte etmeye zorlayabilir
https://en.wikipedia.org/wiki/United_States_Foreign_Intelligence_Surveillance_Court
Anladığım kadarıyla ABD hükümeti şirketlere veri teslim etmelerini emredebilir, ama fiilen bir iş yapmaya zorlayamaz
San Bernardino saldırısından sonra hükümet ile Apple arasındaki anlaşmazlığın özü de buydu ve Apple’ın yardım sağlamayı reddetme konusunda yasal hakkı vardı
https://en.wikipedia.org/wiki/Apple%E2%80%93FBI_encryption_dispute
NSA ve CIA’in arka kapı yerleştirmek için dizüstü bilgisayar ve telefon teslimatlarını ele geçirip işi bizzat yapacak noktaya kadar gitmiş olması da, bu tür eylemleri zorla yaptırabilecekleri fikrinin tersini ima ediyor
Dün aileme, gerçek bir savaşa girersek 8 saat içinde her şeyin çalışmayı durduracağını söyledim
Nakit ve kâğıt işlerine geri döneriz ama bu acılı ve yavaş olur
https://cbr.ru/eng/press/event/?id=18776
https://bank.gov.ua/en/news/all/drugiy-rik-povnomasshtabnoyi-viyni-obsyagi-bezgotivkovih-rozrahunkiv-zrostayut
Kesintiler çoğunlukla füze saldırısı alan fiziksel altyapıyla sınırlı kaldı; Rusya da dijital savaşta zayıf sayılmaz
Düşman hacker eksikliği de yok
Gereken şey “çeşitlilik”; elbette marjinalleştirilmiş gruplar anlamındaki çeşitlilik değil
Daha fazla kritik ekipman farklı OS’ler çalıştırsaydı zarar sınırlı kalırdı
“Monokültür” riskinden genelde bitkiler için söz edilir, ama aynı risk bilişim altyapısı için de geçerli
Medeniyetin çökmediği gerçeği, Windows ve CrowdStrike kullanmayan çok büyük miktarda altyapı olduğunun kanıtı
Biraz sert söylemek gerekirse, CrowdStrike’tan etkilenen şirketlerin de dünkü olayda sorumluluğun bir kısmını paylaştığını düşünüyorum
CrowdStrike bu alandaki 1 numaralı şirket bile değil; bu olay ağ etkisi nedeniyle yaşandı
Bu düzeyde güvenlik elde etmek için gereken platform sayısı gerçekçi olmayacak kadar fazla olurdu
Dünya genelinde Windows cihazlarında CrowdStrike çalıştıran şirketlerde büyük çaplı bilgisayar arızaları yaşandı
CrowdStrike, hack’lere karşı koruma yazılımı olarak satılıyor; ama gerçekte C-seviye yöneticilerin çalışan davranışlarını izlemek için kullandığı popüler bir yazılım
Çok yüksek yetkilerle kuruluyor ve tasarım gereği düzeltilmesi ya da kaldırılması zor olacak şekilde yapılmış
Bunun gerçekten birilerine bir ders verip vermeyeceğini merak ediyorum
Microsoft, etkilenen cihaz sayısının 8,5 milyon olduğunu açıkladı; buna inanmak zor, ama bizim gibi görece orta ölçekli bir organizasyonda bile müdahale için harcanan çabaya bakınca “çalışanların yarısı uzaktan çalışıyorken bu cihazlara nasıl erişeceğiz?” gibi çok basit sorular ortaya çıkıyor
Yanıt her zaman “bunu yaparsak maliyeti ne olur?” idi; ama artık denklemin diğer tarafındaki sayı, yani “yapmazsak maliyeti ne olur?” da var
Ekran görüntüsü olsa iyi olurdu
“Umut tamamen yok değil” diyerek Google’dan Kent Walker’ın, yapay zekanın güvenlik açıklarını tespit etme, delikleri yamama ve kod kalitesini iyileştirme konusunda anlamlı ilerlemeler sağlayabileceğini söylediği kısma katılmıyorum
Tek umut belirsiz yapay zeka vaatleri ise, bence gerçekte umut yok demektir
Bu, okul saldırılarını önlemenin en iyi yolunun öğretmenlere silah vermek olduğunu söylemeye benziyor
Yapay zekanın, aşamalı dağıtım stratejisinin maliyetine değeceği konusunda CrowdStrike yönetimini daha iyi ikna edeceğini sanmıyorum
Bu tür sorunlara teknoloji değil insanlar yol açtığı için, daha fazla teknoloji eklemek bunları çözmez