log4j’nin gösterdikleri: Özgür yazılımlar ve tekeller - I

Açıklar, yazılımların yaşam döngülerinin bir parçası. İlk geliştirme süreci bir yana, bir yazılım kullanıma açıldıktan sonra da çeşitli açıkların ortaya çıkartılması ve bunların yamanması sürecin doğal bir parçası. En sıkı test ve kontrol süreçlerinden geçen yazılımlarda dahi çeşitli açıklar keşfedilebiliyor. Bazı açıkların keşfi ilgili kodun yazılmasının üzerinden yıllar geçtikten sonra dahi olabiliyor. Açıklar kolayca kötüye kullanılabilecek türden olmadığında ya da yaygın kullanılan bir yazılımda olmadığında ve hızlıca yamandığında genelde büyük bir sorun teşkil etmez. Ancak bunun tam tersi tipte; yaygın kullanılan yazılımlarda keşfedilen, kullanımı kolay açıklar da zaman zaman ortaya çıkar ve IT dünyasını kısa süreli de olsa kaosa sürükler. Geçen hafta bu son tipteki bir açığın; log4Shell’in IT dünyasını kaosa sürüklediği bir haftaydı.

Apache Software Foundation tarafından geliştirilmekte olan açık kaynaklı Java günlükleme kütüphanesi log4j’de bir açık tespit edildi. Açığın tespitinin üzerinden fazlaca bir zaman geçmeden, log4Shell adı verilen ve CVE-2021-44228 olarak kodlanan açığın aktif olarak kullanılmakta olduğu ortaya çıktı. Bu açık kritikti çünkü log4j hemen her Java uygulamasının günlükleme için sırtını yasladığı bir kütüphaneydi ve açık oldukça kolay bir şekilde kullanılabiliyordu. “Hemen her Java uygulaması” ifadesi meselenin ağırlığının hissedilmesi açısından yetersiz. Sloganı “milyarlarca cihazda çalışmaktadır” olan Java’nın en yaygın kullanılan kütüphanelerinden biri log4j. Bu nedenle açıktan etkilenenlerin listesi de uzunca: Apple, Steam, Twitter, Baidu, Amazon, Cloudflare, Google, LinkedIn, Minecraft…  Ve tabii bu büyükler listesine sığmayan diğerleri… “Kullanım kolaylığı”nı da netleştirelim: Minecraft’ta mesela açığı kullanabilmek için özel olarak hazırlanmış bir mesajı sohbet kısmına yapıştırmak yeterliydi.

Dijital güvenlik firması Check Point, açığın duyurulmasının üzerinden geçen ilk 72 saat içinde log4Shell’i kullanan 830 bin saldırı girişimi tespit ettiğini, yine aynı süre içinde orijinal saldırının 60’tan fazla yeni varyantının ortaya çıktığını duyurdu. Cloudflare tespit edebildiği log4Shell saldırısı sayısının 10 Aralık 18.00 UTC’de dakikada 20 bine kadar çıktığını aktardı. Açığın kapatıldığı yeni bir log4j sürümü yayımlandı. Ancak log4j’nin yaygınlığı, pek çok yazılımın içine sıkı sıkıya gömülü olması, ilk güvenlik tavsiyelerinin yetersizliği ve farklı saldırı varyantlarının da hızla şekilleniyor olması log4Shell saldırılarının bir süre daha gündemde kalacağına işaret ediyor.

Büyük olasılıkla küçük bir ekip tarafından ücretsiz ve gönüllülük temelinde geliştirilen; açık kaynaklı ve ücretsiz olarak Apache Lisansı 2.0 ile sunulan log4j kütüphanesi neredeyse tüm teknoloji devleri tarafından kullanılıyor. Öte yandan bu teknoloji devlerinin kütüphanenin geliştirilmesine sundukları mali katkı ya da kod katkısı yine büyük olasılıkla sıfır ya da sıfıra yakın. log4j gibi yaygın bir şekilde kullanılan açık kaynaklı daha çokça kütüphane ve yazılım var. Ve bu kütüphaneler ile yazılımların bir kısmının Internet’i ayakta tutan kütüphanelerden olduğunu söylersek pek de yanılmış olmayız. Bütün bu geliştirme faaliyetlerine tekellerin katkısı ise çoğunlukla asgari düzeyde ya da sıfır. log4j’de keşfedilen açık ve sonrasında yaşanan kaos, açık kaynaklı kod ile tekeller arasındaki çoğunlukla tek yönlü ilişkiyi yeniden tartışmamızı da gerekli kılıyor.