Dezenformasyon Çağı: Trust but Verify
Dezenformasyonun altın çağını yaşıyoruz.
Internet, doğrulanmamış, kaynağı belirsiz yada en hafifinden iyi niyetle hazırlanmış yanlış bilgilerle dolu. Sosyal medyanın gücünü arkamıza alarak zaman zaman farkında olmadan biz de bu bilgilerin yayılmasına aracılık ediyoruz. Itiraf etmeliyim ki, bu tuzağa düşenlerden biri de ben oldum. Detayları okuduğunuzda benim de mağdur olduğuma hak vereceğinizi düşünüyorum.
Geçtiğimiz hafta bir güvenlik firmasının 2019 yılı Açık Kaynak Guvenlik ve Risk Analizi raporundaki şu kısım oldukça ilgimi çekti.
The oldest vulnerability identified in the scans is probably older than some of our readers: CVE-2000-0388, a 28-year-old high-risk vulnerability in FreeBSD first disclosed in 1990.
Raporun detaylarına link'den ulaşabilirsiniz.
Ilgi çekici bulduğum bu kısmı kendi yorumlarımı da ekleyere LinkedIn'de şu şekilde paylaştım.
Çok ilginç bir hikaye. FreeBSD libmytinfo kütüphanesinde buffer overflow'a neden olan bir acık tespit edilmiş. Ilginc olan kısım burası degil. Bu açık 5 Eylul 1990 tarihinde yayınlanarak CVE-2000-0388 kodu ile zafiyet veri tabanına ekleniyor. Bundan 28 yıl sonra 2018 taramalarında hala bu açığa rastlanıyor. Akla gelen en mantıklı senaryo o kütüphaneyi yazan developer'in artık hayatta olmaması olabilir. Bugün guvenlik dünyasının en büyük risklerinden biri yamalanmayan açık kaynak kodlu yazılımlar.
Bugün bu paylaşım üzerine esprili bir yazı yazma niyetindeydim. Bilgi toplarken çok daha ilginç detaylarla karşılaşınca yazının konusu planladığımdan biraz farklı oldu.
Amerikan Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) zafiyet veri tabanında bu CVE-2000-0388 güvenlik açığının bildirim tarihi 05/09/1990 olarak gorunuyor. Detay icin link'e bakabilirsiniz. Burası ilginç, çünkü CVE-XXXX-ZZZZ seklinde numaralandırılan güvenlik açıklarında CVE’den sonra gelen XXXX kısmı o açığın bulundugu yılı gösterir. Dolayısıyla CVE-2000 şeklindeki bir güvenlik açığı 2000 yılına ait olmalıydı.
CVE-2000-0388 kodu ile verilen bu acigin FreeBSD tarafındaki karsiligi SA-00:17. FreeBSD sitesindeki link’den görüleceği üzere yayınlanma tarihi 2000-05-09. Burdaki tarihlendirme formatına gore bu açık 9 Mayıs’da kamu oyuna duyurulmus. 9 Mayıs 2000’de duyurulan bu açık bundan iki hafta once 25 Nisan’da düzeltilmiş.
Bir başka kontrol noktası da şu. Ilk FreeBSD versiyonu Kasim 1993’de yayınlanmıs. 1993’de yayınlanmıs bir yazılımın güvenlik açığı 1990’da yayınlanmıs olamaz. Detay icin link'e bakabilirsiniz.
Tarih ile ilgili yanlışı bir kenara bile bıraksak, bundan çok daha önemli olan diğer nokta, bahsi geçen güvenlik açığının zaten düzeltilmiş olduğu. Bu güvenlik açığı FreeBSD 3.x ve oncesi versiyonlara ait. Bugün FreeBSD’nin güncel versiyonu FreeBSD v11. Dolayısıyla Güvenlik açığı bilinen çok eski bir yazılımın bir yerlerde kullanılıyor olması kullananın ihmalidir. Paylaşımımın son cümlesinde bahsettigim gibi, bugün güvenlik dünyasındaki en büyük risklerden birinin yamalanmayan açık kaynak kodlu yazılımlar olduğu gerçekliğini korumasına ragmen, yukarıda bahsi geçen güvenlik açığı buna örnek gösterilemez. Olsa olsa patch management eksikliği icin örnek teşkil edebilir.
Bu yazının amacı, Internet’de gördüğünüz bilgileri doğru kabul etmeden önce bir sorgudan geçirmenizi hatırlatmak. Bugün bu yanlış bilgiler, ve bunları kullanarak üretilen raporlar Internet'de varlığını koruyor. Ne kadar güvenilir görünürse görünsün kaynaklarınızı doğrulamayı unutmayın.
Not : Bu yazıdan sonra paylaşımlarımı sildim.
Bulent Buyukkahraman