2014’ün sonuna gelirken, güvenlik konusunda yıl içinde gerçekleşen en önemli gelişmeleri hatırlıyoruz.
2014 yılı çeşitli güvenlik açıklarına, korsan saldırılara ve güvenlik konusundaki atılımlara ev sahipliği yaptı. Kimi gelişmeler sanal güvenlik konusunda kullanıcıları endişelendirse de, Google ve Yahoo! gibi şirketlerin yenilenen güvenlik politikaları gibi haberler insanları bir nebze rahatlatabildi.
Sony hack saldırısı
Kasım ayında yaşanan hack skandalı, dünya çapında geniş yankı uyandırdı. Kendilerini Guardians of Peace (GoP) olarak adlandıran grup, Sony’nin bilgisayar ağlarını ele geçirip pek çok gizli belgeyi yayınladı.
Hem sinema hem de güvenlik endüstrisini sarsan bu saldırıdan sonra, GoP tarafından James Franco ve Seth Rogen’in başrollerini paylaştığı The Interview filminin gösterime sokulmaması talebi geldi.
Bu istekten haftalar sonra ise kim olduğu halen belirlenemeyen bir grup tarafından yapılan terörist saldırı tehdidi sebebiyle The Interview filminin fişi gösterime girmeden çekildi.
Heartbleed
Heartbleed, 2014’ün başlarında ortaya çıktığında son yılların en çok konuşulan güvenlik açıklarından biri olmuştu. OpenSSL ile çalışan sunucularda ortaya çıkan bir yazılım hatası sebebiyle saldırganların hassas verilere erişimini kolaylaştıran bu güvenlik açığının, heartbeat adlı bir OpenSSL eklentisinden kaynaklandığı ortaya çıktı.
Heartbleed açığının çözümünün ufak bir sunucu güncellemesinde yatıyor ancak güvenlik araştırmacıları, sunucu güncellemesi yapmayan ufak veya eski sitelerde bu tehlikenin halen mevcut olduğunu belirtti.
Shellshock
Uzun yıllar boyunca güvenlik konusunda örnek gösterilen Unix platformunda yaşanan Shellshock açığı, güvenlik endüstrisinin Heartbleed skandalından sonra rahat bir nefes almasına fırsat vermeden ortaya çıktı.
Shellshock ismi, Linux ve OS X gibi Unix-y tabanlı sistemlerde Bash komut isteminde ortaya çıkan bir açığa verildi. Bu açık sayesinde saldırganlar, Shellshock açığı bulaşmış sistemlere çeşitli kritik komutları girebildiler.
Shellshock, güvenlik araştırmacıları tarafından bulaşan sistemlere daha fazla erişim sağladığı ve geniş çaplı bir cihaz ağına bulaştığı için Heartbleed’e göre çok daha tehlikeli bir açık olarak nitelendirildi.
Apple SSL açığı
Söz konusu güvenlik olduğunda parmakla gösterilen Apple bile kimi zaman yeterince dikkatli olamıyor. 2014’ün hemen başlarında gerçekleşen ve goto bug olarak adlandırılan SSL açığı, OS X ve iOS cihazlarda SSL yoluyla şifrelenmesi gereken verilere ulaşımı sağlıyordu.
Apple’a ciddi bir itibar kaybı yaşatan bu açık kısa sürede düzeltilse de, goto hatasından akılda kalan en ilginç detay ise, hatanın sebebinin bir satırda yapılan harf hatası olması oldu.
BadUSB
Bir USB bellek ne kadar tehlikeli olabilir? Eğer üretici firma belleğin yazılımında güvenlik açıkları bırakırsa bu tehlike ciddi boyutlara ulaşabilir.
USB belleklerde bulunan korumasız ve korsanlar tarafından yeniden programlanabilen yazılımlar sebebiyle tam anlamıyla malware saçan cihazlara dönüşen USB bellekler de 2014’ün önemli güvenlik başlıklarından biriydi.
Temmuz ayında bu açığı keşfeden araştırmacılar, üreticileri harekete geçmeye zorlamak adına Ekim ayında bu açığı kullanarak malware oluşturabilen bir araç kiti yayınladı.
Wirelurker
Bir başka Apple açığı olan Wirelurker, hedef olarak iOS işletim sistemini kullanan cihazları hedef aldı. iOS cihazlardaki bütün hassas verileri toplamak için geliştirilen Wirelurker virüsü, Jailbreak yapılmış, yapılmamış tüm cihazları vurdu.
Wirelurker ilk olarak PC’ye bulaşıyor ardından da herhangi bir iOS cihazı kabloyla bağlandığında doğrudan cihaza yayılıyordu. Neyse ki Apple, bu açığa sebep olan bileşenleri bloklayarak bir virüs akımını daha durdurdu. Kasım ortalarında ise Çinli yetkililer virüsün kaynağı olan siteyi kapatarak siteyle bağlantılı kişileri tutukladı.
1,2 milyar giriş bilgisi çalındı iddiası
Ağustos ayına bomba gibi düşen 1,2 milyar kullanıcının giriş bilgilerinin çalındığı iddiası, her ne kadar hızlı bir biçimde gündeme oturmayı başardıysa da, kısa sürede unutulup gitti.
Bu iddianın unutulmasındaki en önemli sebeplerden biri ise doğruluğunun bir türlü kanıtlanmaması ve açığı ilk ihbar eden Hold Security firmasının bu konuda detaylı bilgi vermeyi reddetmesi oldu.
İddia üzerine araştırma yapan güvenlik araştırmacıları, iddialar doğru olsa bile ele geçirilen bilgilerin geçerliliğini yitirdiği kararına vararak pek çok kullanıcıyı rahatlattı.
E-posta güvenliğinde PGP atılımları
Söz konusu e-posta güvenliği ve şifrelemesi olduğunda PGP/GPG yöntemi oldukça başarılı ve güvenli bir yöntem olarak akıllara kazınmış durumda. Ancak uygulanması ve idare edilmesi oldukça zor olan bu sistemin kaderi Google tarafından değiştirileceğe benziyor.
Haziran ayında PGP sistemini daha kolay kullanılabilecek hale getirme çalışmalarına başlayan Google, Gmail’e uygulamada PGP sistemini getirecek End-to-end sistemini tanıttı. Chrome eklentisi yoluyla çalışacak olan bu sistemin duyurusunun ardından Yahoo da kolları sıvadı. Yahoo! yetkilileri 2015 yılı içerisinde Google’ın geliştireceği eklentiyi Yahoo! Mail’e entegre edeceklerini duyurdu.
Her ne kadar bu adımlar güvenlik konusunda önemli bir aşama olsa da, bu gelişmelere karşı çıkanlar da mevcut. John Hopkins üniversitesinde kriptografi uzmanı olarak görev alan Matthew Green’e göre Google, zor kullanıma sahip PGP’yi düzeltmek yerine yeni bir çözüm üretmeli.
Google aramalarına güvenlik teşviği
Ağustos ayı, her ne kadar yılın en büyük güvenlik açığına dair bir iddiaya sahne olsa da, güvenlik konusunda da yeniliklere ev sahibi yaptı. Google, güvenlik konusunda site sahiplerini teşvik etmek için SSL/TSL şifreleme sistemini kullanan siteleri, arama sonuçlarında daha üst sıraya taşıyacağını duyurdu.
Mobil şifrelemede yeni çağ
Apple her ne kadar 2014 yılında ciddi güvenlik açıklarıyla boğuşmuş olsa da, iOS cihazlarda uyguladığı yeni güvenlik planıyla kullanıcıların verilerinin gizliliğini korumaya aldı. iOS cihazlardan veri toplamak için kullanılan bir arka kapıyı kapatan Apple, bu sayede cihazın sahibi dışındakilerin cihazdaki verilere ulaşımını tamamen engelledi.
Apple’ın bu hamlesinin ardından Google da Android 5.0 Lollipop sürümü ile birlikte veri şifrelemeyi varsayılan olarak sunmaya başladı. Veri şifreleme Android 3.0’dan bu yana isteğe bağlı olarak kullanılabiliyordu.
Son kullanıcı açısından gizlilik konusunda büyük bir gelişme olsa da FBI direktörü James Comey, Apple ve Google’ın bu hamlesinin teröristlere ve suçlulara da koruma sağladığını söyleyerek yeni uygulamaya karşı olduklarını belirtti.
Tor’a destek arttı
Tor ağı 2013’ten bu yana web güvenliği konularının önemli başlıklarından biri. Güvenliği ve yasallık durumu sürekli tartışma konusu olan Tor, 2014’ün en önemli yasal soruşturmalarından birine ev sahipliği yaptı. Amerika ve 16 Avrupa hükumetinin ortak operasyonu sonucu 410’a yakın Tor sitesi kapatıldı ve 17 kişi göz altına alındı. Elbette tutuklanan kişiler yasa dışı içerik sahipleri ve tedarikçileri oldu.
Tor’un ismini ve popülaritesini ciddi anlamda zedeleyen bu operasyondan sonra ağa en büyük destek sürpriz bir şekilde Facebook’tan geldi. Tor’un sadece yasa dışı pazarlıkların yapıldığı bir çöplükten ibaret olmadığını savunan sosyal ağ yetkilileri Facebook’un Tor tarayıcısına özel sürümünü de yayınladı. Bunun karşılığı olarak Facebook, SSL sertifikasına sahip ilk Tor sitesi olmayı başardı.
