Açık zinciri
Fotoğraf: Envato
Pwn2Own, CanSecWest Güvenlik Konferansı’nda 10 yıldır düzenlenen bir hack yarışması. Katılımcıların üç gün boyunca işletim sistemlerinin, sanal makinelerin, ofis yazılımlarının, web sunucuların ve web tarayıcıların güncel versiyonlarının açıklarını bulup güvenliklerini aşmaya çalıştığı yarışma bu yıl 51 ayrı yazılım hatası/açığının ortaya çıkmasını sağladı. Web tarayıcılar kategorisinde Microsoft Edge beş, Safari üç, Firefox bir kez hacklenirken Chrome’u hacklemeyi başarabilen olmadı. VMware, MacOS, Ubuntu ve Windows da Pwn2Own’da hacklenmekten kurtulamadı.
Bu yılın hackleri arasında iki tanesi özellikle dikkate değer. İlki Qihoo 360 takımının Microsoft Edge, Windows çekirdeği ve VMware’deki açıklardan yararlanarak sanal makine içindeki işletim sistemi içindeki web tarayıcıdan sanal makinenin dışına ulaşmayı başarması. Kelime çorbası haline gelen son cümleyi biraz açayım. Elinizde Windows kurulu bir bilgisayar var ve bu bilgisayarda bir sanal makine oluşturarak bilgisayarın geri kalanından izole edilmiş bir alan oluşturdunuz. Bu sanal makineye kurduğunuz işletim sistemi de sanal makine yazılımından izole. İşletim sistemi içine kurulu web tarayıcısı da işletim sisteminden izole. Ya da daha doğrusu izole olması gerekirdi. Qihoo 360 takımının esas başarısı tekil açıklardan ziyade bu açıkları bir zincir gibi birbirine ekleyerek tarayıcıdan işletim sistemine, işletim sisteminden sanal makineye, sanal makineden de izolasyonun en dış çemberindeki işletim sistemine ulaşmayı başarabilmesi. Kullanıcıları birbirinden ve ev sahibi sistemden izole etmek ve güvenlik riski taşıyabilecek programları ev sahibi sisteme zarar vermeden test edebilmek gibi işleri için kullanılan sanal makinelerin içinden dışına üstelik de bir web sayfası sayesinde ulaşılabilmesi benim gibi paranoyakları kâbuslara sürükleyebilir.
İkinci hack de yine bir zincir. Chaitin Güvenlik Araştırma Laboratuvarı Apple’ın Safari tarayıcısındaki altı ayrı açığı birbirine bağlayarak MacOS’ta yönetici yetkilerine sahip olmayı başardı.
Bu yılın Pwn2Own’unun yazılım cephesindeki tek galibi Chrome’un hacklenememiş olmasını sağlamlık garantisi saymamak gerektiğini not düşüp, her sistemin kırılabileceğini bir kez daha hatırlatalım.
- Masaüstü işletim sistemlerinin geleceği ve Linux 13 Nisan 2024 04:35
- XZ arka kapısı ve açık kaynağın zaafları 06 Nisan 2024 04:53
- Veri yağmacıları 16 Mart 2024 04:34
- Yapay zeka ve sihirbazlar 09 Mart 2024 05:07
- Verileriniz sermayeye feda olsun! 02 Mart 2024 05:40
- Geniş dil modelleri ve olağan hataları 24 Şubat 2024 04:09
- Apple’ın AB’ye misillemesi PWA’ların sonu mu? 17 Şubat 2024 04:43
- Disney, oyunlar ve at zırhı 10 Şubat 2024 04:19
- Open AI fikri mülkiyete karşı 13 Ocak 2024 04:44
- Yapay zekanın belirsiz geleceği 06 Ocak 2024 04:00
- Yapay zekada telif kavgası: Tekeller tekellere karşı 30 Aralık 2023 04:47
- Oyunları var edenlerin sesini ödülle kısmak 09 Aralık 2023 04:19