GitHub’da patron sansürü

Microsoft, mart ayı başında Exchange sunucularında “Hafnium” olarak adlandırdıkları daha önce adı duyulmamış Çinli bir hacker gurubu tarafından aktif bir şekilde kullanılmakta olan 4 farklı açık için yama yayımladığını duyurmuştu. Saldırganlar Exchange sunucularındaki bu açıklardan yararlanarak çeşitli şirketlerin sunucularına sızarak bilgilere erişiyordu. Açıkları ortaya çıkartan Volexity’ye göre bu açıklar 3 Ocak’tan beri kullanılmaktaydı. Açıkların duyurulup yamalarının yayımlanmasının ardından hem henüz yamalanmamış Exchange sunucularına saldırılar arttı hem de bu açıkları kullanan saldırgan gurupların sayısı. Açıklar ve yamaları ile ilgili çalışmalar sürerken çarşamba günü Vieatnam’dan Nguyen Jang adlı bir güvenlik araştırmacısı bu dört açıktan ikisini kullanarak sunuculara erişilebildiğini kanıtlayan kısa bir kod parçacığını Microsoft’un birkaç yıl önce satın aldığı GitHub’da yayımladı. Yayımlanan kod parçacığının birkaç saat içinde GitHub tarafından yayından kaldırılması güvenlik araştırmacıları arasında sansür ve çifte standart tartışmalarının da başlamasına yol açtı.

Herhangi bir yazılımda açıkların ortaya çıkması ve bunların yamanması, yamanmamış hedeflerin saldırıya uğramasında anormal bir durum yok. Ortalama bir yazılımın yaşam döngüsünde çokça yaşanabilecek bir olay bu. Bu örnekteki gibi “kavramın kanıtı” (proof of concept - PoC) kodlar farklı açıklar için GitHub’da dahil çeşitli platformlarda yayımlandı. Ancak bu durumun yüz binlerce şirkette kullanılan Exchange sunucusu gibi bir yazılımda yaşanması ve kodu yayından kaldıran GitHub‘ın sahibinin Exchange’in de sahibi olan Microsoft olması tartışmayı biraz daha çetrefilli hale getiriyor.

PoC kodların yayımlanmasının güvenlik araştırmacıları açısından değeri ortada. Tanımlanmış bir açığın nasıl kullanılabileceğini her bir araştırmacının sıfırdan kurgulaması gerekliliğini ortadan kaldırıyor. Açık ve saldırı üzerinde daha verimli bir çalışmayı mümkün kılıyor. Henüz yamanmamış çok sayıda sunucu varken PoC kodların kolayca erişilebilir olmasının saldırgan sayısını arttırabileceği kaygısı haksız değil. Ancak güvenlik araştırmacılarının bu tip kodları saldırganlarla paylaşmadan birbirleriyle geniş çaplı olarak paylaşabilmesinin bir yolu da yok.

GitHub’ın kullanıcı sözleşmesi “kötü amaçlı” kodları yayından kaldırma hakkını GitHub’a tanıyor. GitHub, kodu yayından kaldırmasını bu maddeye dayandırıyor. Ancak GitHub’da Microsoft’a ait olmayan çeşitli yazılımların açıklarına dair çeşitli PoC kodlar hâlâ varlığını sürdürebiliyor. Eğer birkaç yıl önce Microsoft GitHub’ı satın almamış olsa ya da bu kod Microsoft’un bir yazılımına dair değil de başka bir şirketin mesela Microsoft’un doğrudan rakibi olan bir şirketin yazılımına dair olsaydı yayından kaldırılır mıydı? Bu soruya “Evet, aynı buradaki gibi olağanüstü bir hızla yayından kaldırılırdı.” diye yanıt vermek zor.

Internet’e bir kez giren bir şeyi yayından kaldırmanın pek fayda etmediği bilinen bir gerçek. Mevzubahis kod, gerek arşiv sitelerinde gerekse de farklı platformlarda erişilebilir durumda. Burada risk faktörü sayılan esas grup kim sorusunu sormamız lazım. Daha gelişkin saldırgan grupların zaten bu koda ihtiyacı olmadığı, açıkları bulabildikleri ve kullanacak kodları kendileri geliştirebildikleri ortada. Üstelik bu geliştirilen kodların paylaşıldığı ya da satıldığı kapalı çevrimiçi odaların varlığı da bilinen bir gerçek. Bu durumda geriye bir tehlike unsuru olarak sadece “betik veletleri” (script kiddies) kalıyor. Betik veletleri, kendileri bu kodu doğrudan geliştirecek beceriye sahip olmayan ancak başkaları tarafından geliştirilmiş hazır kodları ve araçları kullanabilecek kadar bilgi sahibi genişçe bir kitleye verilen ad. Ancak bu geniş kitle içinde de çeşitli PoC kodlarının kamuya açılmamış olsa dahi kolayca yayıldığını da biliyoruz. Özetle o açıkları kötüye kullanan bir kod GitHub’dan olmasa başka bir yerden, Jang’ın yazdığı koddan olmasa bir başka koddan zaten yayılacaktı. “PoC kodlar yayımlanır mı yayımlanmaz mı?​” diye tartışmaktansa bu kadar kritik ve 2 ayı aşkın süredir kullanılmakta olan açıkların Microsoft tarafından yamanmasının neden bu kadar uzun sürdüğünü sormak/sorgulamak gerek.