Açık kaynakta tedarik zinciri güvenliği

Tedarik zinciri saldırıları uzun yıllardır kullanılan bir saldırı metodu. Herhangi bir ürünün üretim süreci içindeki aşamalardan birinde bir zayıflık yakalayarak bu zayıflıktan üretim sürecine sızan ve üretim süreci boyunca ilerleyerek son üründe yer almaya çalışan bu saldırı şekli son yıllarda özellikle yazılım alanında sıkça görmeye başladık. Yazılım alanında bu saldırılar kamufle edilmiş kötü amaçlı kodların bir şekilde ana kodun içine eklenmesi ile gerçekleştiriliyor. 2020’de en azından beş büyük çaplı tedarik zinciri saldırısına tanıklık ettik: Able Desktop, GoldenSpy, Wizvera, SignSight ve tarihin en büyük saldırılarından biri olarak anılan SolarWinds.

Elbette bu saldırılar sadece kapalı kaynaklı yazılımlar ve bunların geliştirme şekilleri ile sınırlı değil. PHP’nin Mucidi Rasmus Lerdorf ve önemli PHP geliştiricilerinden Nikita Popov’un elinden çıkmış gibi görünen “küçük yazım düzeltmeleri” kılığında PHP kaynak koduna mart ayı sonunda yapılan saldırının da gösterdiği üzere özellikle yaygın bir şekilde kullanılan açık kaynaklı bir geliştirme modeli izleyen yazılımlar da bu tip saldırılar için ciddi birer hedef. PHP kaynak koduna yapılan saldırının başarıya ulaşıp son kullanıcıya sunulsa SolarWinds saldırısını gölgede bırakacak büyüklükte bir kaosa yol açacağını ancak kötü niyetli kodun -açık kaynaklı geliştirme süreçleri ile de bağlantılı olarak- birkaç saat gibi kısa bir sürede tespit edildiğini not düşmek gerek.

Görünen hedefin A ya da B açık kaynaklı yazılım olması bir yanılsama yaratmasın. Hedefte olan sadece A ya da B değil, açık kaynaklı yazılım geliştirme modelleri ve bu modellere kötü amaçlı kodların ne kadar sızdırılabileceği. Bu hedefe yönelik çalışma yürütenler sadece saldırganlar değil. Açık kaynaklı yazılım geliştirme alanında çalışanlar olası saldırılara karşı tedbirlerini arttırmaya çalışırken akademide de açık kaynaklı yazılım geliştirme modellerinin güvenliğini farklı şekillerde test etmeye çalışıyor.

Akademi kaynaklı bu tip son denemelerden biri Linux çekirdeği kaynak koduna karşı yapıldı ve kullandıkları pek de etik sayılamayacak yöntemler nedeni ile Minnesota Üniversitesi (UMN) uzantılı tüm e-posta adreslerinin Linux çekirdeğine bundan sonra herhangi bir katkıda bulunmasının yasaklanması ile sonuçlandı. UMN’den bir grup daha önce Linux çekirdeğine çeşitli hatalara yol açan kodları yollamış ve IEEE’nin önümüzdeki ayki 42. Güvenlik ve Gizlilik sempozyumunda sunulmak üzere bir makale hazırlamıştı. Aynı ekiple ilişkili bir doktora öğrencisinin benzer nitelikte hataya yol açan bazı kodları yollamasının ardından Linux çekirdeği geliştiricileri arasında en öne çıkan isimlerden Greg Kroah-Hartman UMN kaynaklı gelecekte gelebilecek tüm katkıları yasakladı. Üniversite ise çalışmanın durdurulduğunu ve çalışmanın etik kurulundan nasıl onay aldığının inceleneceğini duyurdu.

Bir grup akademisyenin bir makale uğruna Linux çekirdeği geliştiricilerini kendi bilgileri dışında böyle bir deneye alet etmesinin pek etik bir davranış olmadığı zaten açık. Üstelik Linux’un kullanım alanlarının genişliği ve pek çok kritik/hassas alanda kullanılması nedeni ile bu kodların fark edilmeyip de kararlı sürüm ile birlikte yayılması halinde yaratabileceği dertler de yine ciddi bir tartışma. Ancak bu tartışmalar da, UMN adreslerinin yasaklanması da, makale yazarlarının “davranış kurallarına ‘Bu yamayı göndererek kodda yeni açıklar oluşturma niyetinde olmadığımı kabul ediyorum’ gibi bir cümle eklenmesi” gibi saçma önerileri de açık kaynaklı geliştirilen yazılımlara kötü niyetli kodların eklenebilmesi derdini çözmüyor. Geliştirme ve kontrol süreçlerinin kod güvenliği ekseninde daha detaylıca gözden geçirilmeye ihtiyacı var.