25 Mart 2017

Açık zinciri

İsmail Gökhan Bayram

bilisim@evrensel.net igbayram

DİĞER YAZILARI

Yapay zekada fiyat savaşları 8 Şubat 2025

Stargate, OpenAI’ı kurtarabilir mi? 25 Ocak 2025

Yapay Zekanın arkasındaki görünmez maliyet 4 Ocak 2025

Geniş dil modellerinde yeni rakip: DeepSeek V3 28 Aralık 2024

Çocukları çevrimiçi tehlikelerden kim koruyacak? 14 Aralık 2024

Sosyal medyaya yaş sınırlaması çocukları koruyabilir mi? 30 Kasım 2024

Medyanın arama tekeli ile imtihanı 23 Kasım 2024

Teknoloji patronları ABD seçiminin galiplerinden 9 Kasım 2024

Platformlar ve yayıncılar çevrim içi radikalleşmenin neresinde? 19 Ekim 2024

Hamam böceği yuvası mutfakta değil 10 Ekim 2024

YAZI ARŞİVİ

Pwn2Own, CanSecWest Güvenlik Konferansı’nda 10 yıldır düzenlenen bir hack yarışması. Katılımcıların üç gün boyunca işletim sistemlerinin, sanal makinelerin, ofis yazılımlarının, web sunucuların ve web tarayıcıların güncel versiyonlarının açıklarını bulup güvenliklerini aşmaya çalıştığı yarışma bu yıl 51 ayrı yazılım hatası/açığının ortaya çıkmasını sağladı. Web tarayıcılar kategorisinde Microsoft Edge beş, Safari üç, Firefox bir kez hacklenirken Chrome’u hacklemeyi başarabilen olmadı. VMware, MacOS, Ubuntu ve Windows da Pwn2Own’da hacklenmekten kurtulamadı.

Bu yılın hackleri arasında iki tanesi özellikle dikkate değer. İlki Qihoo 360 takımının Microsoft Edge, Windows çekirdeği ve VMware’deki açıklardan yararlanarak sanal makine içindeki işletim sistemi içindeki web tarayıcıdan sanal makinenin dışına ulaşmayı başarması. Kelime çorbası haline gelen son cümleyi biraz açayım. Elinizde Windows kurulu bir bilgisayar var ve bu bilgisayarda bir sanal makine oluşturarak bilgisayarın geri kalanından izole edilmiş bir alan oluşturdunuz. Bu sanal makineye kurduğunuz işletim sistemi de sanal makine yazılımından izole. İşletim sistemi içine kurulu web tarayıcısı da işletim sisteminden izole. Ya da daha doğrusu izole olması gerekirdi. Qihoo 360 takımının esas başarısı tekil açıklardan ziyade bu açıkları bir zincir gibi birbirine ekleyerek tarayıcıdan işletim sistemine, işletim sisteminden sanal makineye, sanal makineden de izolasyonun en dış çemberindeki işletim sistemine ulaşmayı başarabilmesi. Kullanıcıları birbirinden ve ev sahibi sistemden izole etmek ve güvenlik riski taşıyabilecek programları ev sahibi sisteme zarar vermeden test edebilmek gibi işleri için kullanılan sanal makinelerin içinden dışına üstelik de bir web sayfası sayesinde ulaşılabilmesi benim gibi paranoyakları kâbuslara sürükleyebilir.

İkinci hack de yine bir zincir. Chaitin Güvenlik Araştırma Laboratuvarı Apple’ın Safari tarayıcısındaki altı ayrı açığı birbirine bağlayarak MacOS’ta yönetici yetkilerine sahip olmayı başardı.

Bu yılın Pwn2Own’unun yazılım cephesindeki tek galibi Chrome’un hacklenememiş olmasını sağlamlık garantisi saymamak gerektiğini not düşüp, her sistemin kırılabileceğini bir kez daha hatırlatalım.