xz Utils'e yapılan   güncellemeler nedeniyle, dünya   Etki, 2020'de Rus bilgisayar korsanlarının birçok ABD hükümet kurumunun çekirdeğine sızmasına olanak tanıyan   benzer bir yıkıma neden olma potansiyeline sahipti. kötü amaçlı yakın zamanda ortaya çıkan bir arka kapı olayından etkilenmek üzereydi. SolarWinds saldırısına  Ars Technica'ya göre saldırı başarıya "korkunç derecede yakındı" ve yazılım ve kriptografi mühendisi Filippo Valsorda tarafından bugüne kadar gözlemlenen "en iyi gerçekleştirilen tedarik zinciri saldırısı" olarak tanımlandı.  İnternetin kitle kaynaklı kodlarının çoğu, kötü aktörlerin ve ulus devletlerin sızmasına karşı savunmasızdır.   haberine göre, açık kaynaklı yazılım "internetin kalbinde yer alıyor", büyük ölçüde bir avuç gönüllü tarafından korunuyor ve bu da onu hem şirketler hem de hükümetler için büyük bir güvenlik riski haline getiriyor.   düşük maliyeti nedeniyle genellikle dijital   kullanılır. Dijital dünyaya gömülü olan bu altyapı, çeşitli düşman ulus devletlerin saldırısı altında. The Economist'in Açık kaynaklı yazılım, altyapıda   Son xz Utils Açık Kaynak Korkusu  29 Mart 2024'te   yazılım mühendisi olan Andres Freund, "Linux işletim sisteminin parçası olan bir yazılım parçasında gizlenmiş bir arka kapı" buldu. Bu arka kapı, xz Utils'in kurcalanmış kaynak kodundan geldi ve etkilenen sürümleri kullanan sistemlere yetkisiz erişime izin verdi. Güvenliği ihlal edilen kaynak kodu, Linux sistemlerindeki   aitti.   mühendisin "potansiyel olarak tarihi bir siber saldırıyı" önlediğini yazdı. Microsoft'ta xz Utils açık kaynaklı veri sıkıştırma yardımcı programına New York Times,  xz Utils açık kaynak kodlu bir yazılım olduğundan, kodun herkese açık olduğunu ve daha sonra hangi değişikliklerin yapıldığını herkes görebilir.  Jia Tan adlı bir geliştirici, projeye yararlı kod katkıları sağlamaya ve yavaş yavaş güven kazanmaya başladı. Daha sonra kötü oyuncu zamanla kötü amaçlı yazılım kaçakçılığı yaptı. Saldırıların arkasında olduğundan şüphelenilen Rusya'nın dış istihbarat servisi SVR, SolarWinds saldırısının arkasındaki istihbarat servisiyle aynı.  Açık Kaynak Güvenlik Vakfı (OSSF), xz Utils saldırısının muhtemelen münferit bir olay olmadığı konusunda   . Kötü aktörler,   for JavaScript projeleri gibi diğer projeleri devralmak için benzer sosyal mühendislik taktiklerini kullanırken yakalandı. uyardı OpenJS Foundation   Açık Kaynak Yazılımın Güvenlik Açığı  Frontsight medyasına konuşan açık kaynak yazılım uzmanı Ryan Ware, mevcut risklerin büyüklüğünü şöyle açıkladı:  Ware'a göre "Dijital altyapımız çok savunmasız". “Bugüne kadar 177.914 CVE yayınlandı. Tartışmanın hatrına, açık kaynakta 1 milyar satır kod olduğunu varsayalım (bu çok daha fazla, ancak bu tartışmayı başka bir güne bırakacağız). Ayrıca, bu CVE'lerin yarısının açık kaynak için olduğunu da söyleyelim (güzel bir yuvarlak sayı için 90.000). Bu, açık kaynak kodunda her 11.111 kod satırında yalnızca bir güvenlik açığı bulduğumuz anlamına geliyor" dedi.  "Şirketler, her 11.000 kod satırında yalnızca bir güvenlik açığı bulunacak kadar temiz bir koda sahip olmak için can atarlardı." "Ayrıca, şu anda yazılan açık kaynaklı yazılım miktarında bir miktar düşüş olsa da, biz hâlâ Yazılan kod miktarı tüm zamanların en yüksek seviyesine ulaştı," diye açıkladı Ware. Bulunan her güvenlik açığına karşılık, kod geçerli hale gelmeden önce 5-10 ek güvenlik açığının daha bulunacağı bir senaryoyu anlattı.   xz Utils'ten ders  XZ Utils'in ramak kala durumunun büyüklüğü, Ware'in ayrıca açıkladığı gibi, kitle kaynaklı yazılımın kırılganlığını ve arıza korumalı kurulumlara olan acil ihtiyacı net bir şekilde hatırlatıyor:  “Ulus devletlerin yazılım güvenliğini alt üst etmeye çalıştıklarını kesinlikle biliyoruz. Tek yapmanız gereken mevcut   listesine bakmak." Ware, "tarihsel olarak bu tehdit aktörlerinin hedeflerine ulaşmak için sıfır gün güvenlik açıklarını kullanmaya odaklandığını" belirterek şunları söyledi: Ancak şunu da belirtti: "Operasyonel olarak bu tehdit aktörleri sadece bir sıfır gün bulup hemen onu istismar etmiyorlar. Sıfır gün güvenlik açıklarını (kendi araştırmaları yoluyla keşfedilen veya satın alınan) biriktiriyorlar ve operasyonel hedeflerini karşılayan bir güvenlik açığına ihtiyaç duyduklarında bunları kullanıyorlar.” APT'lerin  Bu arada Ware, bir güvenlik açığının varlığı ile yazılım geliştiricilerin sistemlerine yama yapması arasında geçen uzun süreye dikkat çekti. Tehdit aktörleri, onarımlardaki bu gecikme devam ettiği için güvenlik açıklarını uzun süre istifleyebilir.   Yazılım Manipülasyonunda Belirsiz Bir Görüş Çizgisi  Zaman içinde pek fazla görünürlük kazanmayan şey, ulus devlet aktörlerinin yazılımı manipüle etmek için ne yaptıklarıdır. Ware, "xz ile yaşanan tüm olay, bu ulus-devletlerin ne tür kaynaklar sağlayabileceğini göstermek de dahil olmak üzere, bunların bazılarına bir pencere açtı" dedi. Ancak xz olayı, bu   karmaşıklığının denendiğinin tek kanıtı değil. Ryan, "Dürüst olmak gerekirse benim endişelerim, ulus devletlerin hem açık kaynaklı yazılım hem de ticari yazılım alanında şu anda bilmediğimiz şeylerle ilgili" diye vurguladı. sosyal mühendislik  Ware'e göre SolarWinds olayının hafızalardan silinip silinmediği sorulduğunda, bu kime sorduğunuza bağlı:  “SolarRüzgarlar'dan alınan derslerin hükümet yetkilileri tarafından unutulduğunu düşünmüyorum. OpenSSF'deki (SLSA ve GUAC gibi) yazılım tedarik zinciri güvenliğine yönelik çalışmaların çoğu, CISA'nın bu alanda çözümler görmek istemesi nedeniyle yapılıyor" dedi.  Ware, "Kamuoyunun bilincinin kesinlikle dışında kaldığını düşünüyorum, ancak aynı zamanda kamu bilincine ne kadar nüfuz ettiğini de bilmiyorum" diye ekledi Ware, genellikle bir yazılım geliştiricisi olan ortalama hobi yazılım geliştiricisi için çıkarımlar içeren bir perspektifin altını çizdi. “kamu bilinci”.

This story contains new, firsthand information uncovered by the writer.

Read My Stories

Bu ses hikayenin orijinal dilinde üretilmiştir!

Çok uzun; Okumak

Boost your HackerNoon story @ $159.99! 🚀

Kötü Amaçlı Xz Utils Güncellemesi Dünya Çapındaki Linux Sistemlerinde Neredeyse Felaketli Bir Siber Saldırıya Neden Oldu

About Author

YORUMLAR

ETİKETLERİ ASIN

BU YAZI

Related Stories

Sulara Yelken Açmak: Data Lakes ile Üretim Sınıfında RAG Uygulamaları Geliştirme

Kullanıcı Odaklı Kripto Ürünleri Oluşturma: Müşteri Geri Bildiriminin Önemi

AI/ML Datalake için Referans Mimarisi Oluşturmaya Yönelik Mimar Kılavuzu

Forumlardan Feed'lere: Sosyal Medya Algoritmaları Dijital Etkileşimi Nasıl Şekillendiriyor

Sulara Yelken Açmak: Data Lakes ile Üretim Sınıfında RAG Uygulamaları Geliştirme

Kullanıcı Odaklı Kripto Ürünleri Oluşturma: Müşteri Geri Bildiriminin Önemi

AI/ML Datalake için Referans Mimarisi Oluşturmaya Yönelik Mimar Kılavuzu

Forumlardan Feed'lere: Sosyal Medya Algoritmaları Dijital Etkileşimi Nasıl Şekillendiriyor

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps