Kötü Çocuklardan Önce ‘Heartbleed’i Tespit Etmek

NOT.: Dün yayınlanan ABD Ordusu’nun en zeki hackerları aslında insan değil yazısının ikinci bölümüdür.  

Beyaz Şapkalı Robot hacker geliştirme projesi üzerine çalışan takımın üyeleri geçen yıl 750 bin dolarlık bağış kazanmışlar ve bu da onlara bu çalışma için biraz ara zaman ayırmalarını sağlamış. Aynı zamanda Carnegie Mellon Üniversitesi’nde bir bilgisayar mühendisliği profesörü olan Brumley yaptıkları işi “Bizim asıl motivasyonumuz – biz sadece eğleniyoruz” diye açıklıyor ve “Sadece hoşumuza giden ve özen gösterdiğimiz bir iş. Para bizim bunu yapmamıza olanak tanıyor” diye ekliyor.

DARPA kendilerini çağırmasa bile 9-5 mesai saatleri arasında da aynı türde yazılımı geliştiriyor olacaklarını kaydediyor.

2011’den bu yana Brumley’in araştırmalarında, ya hackerlar tarafından bilinçli olarak yaratılmış ya da Heartbleed Bug olayında olduğu gibi yazılım geliştiriciler tarafından farkında olmadan yaratılmış güvenlik açıklarını tespit etmeyi de içeren otomatik “İstismar aracı (exploit) üretimi” de bulunuyor.

Brumley geçen yıl “Bizim bakış açımıza göre yarışma, bizim araştırmamız için yazılmış gibi” demişti.

Brumley’in beyaz şapkalı hacker araştırması – ve ekibin hackerlarla savaşan robotu – kötü çocuklardan önce bir sonraki Heartbleed’i bulmayı amaçlıyor. İç Güvenlik Bakanlığı istatistiklerine göre geçtiğimiz yıl boyunca yazılım şirketleri ve araştırmacılar 8 bin 500 dolayında güvenlik zafiyeti buldular. Hackerların kaç tane bulduğu ise bilinmiyor.

Kimse iki yıl içinde tamamen otomatik bir siber savaşçı yaratılmasını beklemiyor.

Brumley, 1997 yılında satranç ustası Garry Kasparov’u yenen IBM’in satranç oynayan bilgisayarı Deep Blue’ya göndermede bulunarak “En iyi yarışmacı bilgisayar satranç programlarının en iyi insanla yarışabilmeleri 10 yılı alıyor, hatta onları yenmeleri daha uzun süre alıyor. Yıl sonunda veya iki yıl sonunda hacklenemez bir yazılım sahibi olmak alışıldık birşey değil.” diye konuşuyor.

Kısmen bu sebeple Brumley, başında profesörünün şapkası olduğu halde, DEFCON gibi her yıl düzenlenen hacker buluşmalarında öğrencilere “bayrağı yakala” (CTF) gibi pratik hackleme eğitimi veriyor. 2016 yılında Vegas’taki etkinlik ayrıca DARPA’nın bir turnuvasına ev sahipliği yapacak. Bu “Dünya Serisi” olarak da bilinen geleneksel bir turnuva. Brumley aynı zamanda, bu turnuvayı ardı ardına iki yıl kazanan CMU’nun “Plaid Parliament of Pwning” adlı takımının da bir üyesi. Geçtiğimiz ay da DARPA’ya dört askerî akademinin üyeleri için hazırlanan bir oyunu hazırlamasında yardım etti.

Brumley, “Önümüzeki 10 yıl içinde tam otomasyonun insanın yerini alacağının” şüpheli olduğunu söylüyor ve “Bunu görme isteriz ama öyle olacağını sanmıyoruz ve bu arada biz de alanı yetiştirmek zorundayız” diye ekliyor.

Brumley, Cyber Grand Challange’ın siber güvenliğin yapay zekanın devralacağı yönündeki kehanetine de tam olarak inanmıyor. Ona göre siber güvenlik her zaman için bir sonraki zafiyeti veya açıklığı öngörmek ve ona göre güvenlik yazılımı tasarlamak için insan aklına ihtiyaç duyacak.

Bu açıdan “Bilgisayarlar biz onları ne yapması için programlarsak onu yaparlar, ama her zaman bir sonraki saldırıyı düşünen ve bilgisayarı programlayan bir insana her zaman ihtiyacınız olacaktır” diye konuşuyor.

Takım için şimdilik herşey yolunda. For All Secure yarışmacılar arasında ilk 10’a girdi.

Sonuç? 2 Milyon Dolar ve Bir Devrimi Tetikleme Şansı

Merkezi NYC’de bulunan Trail of Bits adlı genç şirketin, geçtiğimiz ayki prova etkinliğinde bilgisayarlarına adeta yapışmış vaziyette 10 çalışanı bulunuyordu. Bu on kişiden 4’ü tam zamanlı olarak çalışanlardan oluşuyordu.

Şirketin kurucularından olan Dan Guido, DARPA’nın test etkinliğini şu sözlerle anlattı: “DARPA’nın yanında sistemimizi baştan sona ilk kez test ettiğimiz için bizim açımızdan çok gerilimli bir zamandı. Herkes göreve hazır şekilde bekliyordu. Bütün eller masadaydı, sistemin beklenildiği gibi çalışmasından emin olmaya çalışıyordu. Sistem açıkları kolayca çözüyordu ve eksik bir durum gözükmüyordu”

Amazon’un bulut sisteminden çalıştırılan takımın sistemi, aynı zamanda ilk 10’a girmeyi de başardı. Trail of Bits, tıpkı For All Secure gibi katılmak için hükümetten finans desteği alıyor.

Guido’nun umudu, yarışmayı kazandıktan sonra sadece masraflarını karşılayabilmek. Gudio, “Bunu bir nefes alma olarak görüyoruz. Bunu şirket için para kazandıracak bir proje olarak görmüyoruz. 2 milyon dolar bizim için güzel bir ödül” diye anlatıyor.

Gerçek sonuç ise zafiyetleri otomatik olarak bulan ve çözen bir yazılım geliştirmek olacak. Guido, birçok organizasyonun maliyetinden dolayı giderek gelişmekte olan bilgisayar tehditlerini tanımlayabilecek yetenekli, etik sahibi hackerları kiralayamadığını söylüyor.

Cyber Grand Challenge Program Yöneticisi Mike Walker’a göre bahse konu olan pay 2 milyon dolarlık ödülden çok daha fazla.

Walker, geçtiğimiz yıl bir Bloomberg siber güvenlik konferansında “Buradaki pay, bir otomasyon teknoloji devriminin başlangıcı – otomasyonun bilgisayar güvenliğinin geleceği olduğu düşüncesi – ve uzmanlar ile otomasyon arasındaki oyun alanını yerle bir etme şansı.” demişti.

DARPA, kendi kendini iyileştiren bilgisayarlar icat etmeye çalışan tek federal ajans değil. Ulusal Güvenlik Ajansı ve DHS yakın zaman önce bilgisayarların ve diğer cihazların bir saldırıdan sonra kendilerini toparlayabilmelerine öncülük edecek Otomatik Güvenlik Çevresi Girişimi (Enterprise Automated Security Environment – EASE) üzerinde işbirliği yapmaya başladı.

(SB Notu: Heartbleed, açık kaynak kodlu kriptografi kütüphanesi OpenSSL’de tespit edilen bir yazılım hatasıdır. Bu açık sayesinde bir saldırgan sunucu hafızasından veri okuyabildiği gibi, bir sunucunun SSL özel anahtarlarını da ele geçirebilir.)

 

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.