Sıfırıncı gün açığı nedir ve bunlar Patch Tuesday'i neden hâlâ atlatabiliyor

Onu bulan güvenlik araştırmacıları tarafından HiveLegacy kod adı verilen, yeni açıklanan bir Windows güvenlik açığı, Microsoft'un aylık güvenlik düzeltmeleri paketini yayınladığı, tesadüfen bugüne kadarki en büyük paketlerden biri olan gün tam olarak aynı gün ortaya çıktı. Zamanlama ilişkili değil tesadüfi, ancak "güvenlik yamalama" şemsiyesi altına giren ve sıklıkla birbirine karıştırılan çok farklı iki şeye dikkat çekiyor: bilinen hataları düzeltmenin öngörülebilir, planlanmış süreci ve saldırganların onları başka herkesten önce bulup istismar ettiği, öngörülemez açıkların ortaya çıkışı.
Sıfırıncı gün güvenlik açığı, tanımı gereği, yazılım tedarikçisinin düzeltme fırsatı bulmadan önce aktif olarak istismar edilen veya kamuya açık hale gelen bir açıktır; buradan "sıfır gün" önceden uyarı ifadesi geliyor. Bu, araştırmacıların keşfedip sessizce tedarikçiye bildirdiği ve kamuoyu ya da saldırganlar ayrıntıları öğrenmeden önce rutin bir güncellemeyle düzeltilen çok daha büyük sıradan hatalar kategorisinden farklı. Sıfırıncı gün açıkları daha nadir ve önemli ölçüde daha tehlikeli çünkü kullanıldıkları anda mevcut bir yama yok; bu da tedarikçinin bir düzeltme geliştirip test edip yayınlaması ne kadar sürerse sürsün her yamasız sistemi savunmasız bırakıyor.
Microsoft'un her ayın ikinci salı günü güvenlik güncellemeleri yayınlama uzun süredir devam eden uygulaması olan Patch Tuesday, aksi takdirde kaotik olacak bir yamalama sürecine öngörülebilirlik getirmek için var. Düzeltmeleri tek bir aylık yayına yoğunlaştırmak, BT yöneticilerinin ay boyunca öngörülemez bir programda yama uygulamak için telaşlanmak yerine test ve dağıtım pencerelerini önceden planlamasına olanak tanıyor. Bu öngörülebilirlik, sorumlu bir şekilde keşfedilip istismar başlamadan önce bildirilen güvenlik açıklarının büyük çoğunluğu için değerli.
Sorun şu ki sıfırıncı gün açıkları, doğaları gereği bu takvime saygı göstermiyor. Yamasız bir açığın bilgisini keşfeden veya satın alan bir saldırganın ayın ikinci salı gününü beklemesi için bir nedeni yok ve HiveLegacy örneğinde araştırmacılar açığı "güçlü bir ilkel" olarak nitelendiriyor; bu, dar, tek amaçlı bir hata olmaktan çok, bir kez istismar edildiğinde bir saldırgana diğer tekniklerle birleştirilerek daha ciddi sonuçlar elde etmesini sağlayan geniş yeteneklerin verildiği bir açık için kullanılan güvenlik jargonu.
İşte tesadüfi zamanlama burada sadece ironik olmaktan çok bilgilendirici hale geliyor. Rekor kıran bir Patch Tuesday, Windows kadar büyük bir kod tabanında sürekli olarak gerçekleşen sıradan güvenlik açığı keşfi ve düzeltme çalışmasının ölçeğini gösteriyor; bu, büyük ölçüde kamuoyunun görüşü dışında gerçekleşen ve amaçlandığı gibi işlediği için nadiren manşetlere çıkan bir çalışma. Aynı gün ortaya çıkan bir sıfırıncı gün açığı, bu istikrarlı, işleyen sistemin, ayrı ve daha az kontrol edilebilir bir tehditle -sorumlu bir şekilde bildirmekle ilgilenmeyen kişiler tarafından önce bulunan açıklarla- birlikte var olduğunun bir hatırlatıcısı.
Windows filolarını yöneten kuruluşlar için, bir sıfırıncı gün açığına verilen pratik yanıt, rutin yama yönetiminden anlamlı şekilde farklı. Açıklama anında henüz resmi bir düzeltme mevcut olmadığı için güvenlik ekipleri genellikle geçici azaltma önlemlerine güveniyor -belirli bir savunmasız özelliği devre dışı bırakmak, ağ erişim kontrollerini sıkılaştırmak veya istismar girişimlerini işaretleyebilecek tespit kuralları dağıtmak gibi- ta ki Microsoft bant dışı bir yama yayınlayana veya düzeltmeyi bir sonraki düzenli güncelleme döngüsüne dahil edene kadar. Bir sonraki planlanmış Patch Tuesday'i beklemek, aktif olarak istismar edilen bir açık için genellikle çok yavaş bir yanıt olarak kabul ediliyor.
Güvenli yazılım geliştirme uygulamalarına on yıllarca yatırım yapılmasına rağmen sıfırıncı gün açıklarının büyük işletim sistemleri ve uygulamalarında tekrar tekrar ortaya çıkması, alanın rahatsız edici bir gerçeğini yansıtıyor: yazılım karmaşıklığı, onu güvenli hale getirmek için kullanılan araç ve süreçlerden daha hızlı büyüdü ve Windows kadar devasa herhangi bir kod tabanı, yetenekli, iyi kaynaklara sahip saldırganların savunuculardan önce bulabileceği açıklar içermeye devam edecek. Patch Tuesday bu sorunun yüzey alanını önemli ölçüde azaltıyor, ancak hiçbir zaman sıfırıncı gün kategorisini tamamen ortadan kaldırmak için tasarlanmadı ve HiveLegacy gibi olaylar bu boşluğun açık kaldığının kanıtı.
Bunların hiçbiri Patch Tuesday'in görevinde başarısız olduğu anlamına gelmiyor. Aylık ritim, Windows güvenlik açıklarının büyük çoğunluğunun silahlandırılmadan önce kapatılma biçiminin bel kemiği olmaya devam ediyor ve HiveLegacy ile aynı zamana denk gelen rekor boyuttaki yama grubu, amaçlandığı gibi işleyen büyük, işlevsel bir keşif-ve-düzeltme hattının kanıtı. Bu tür olayların gerçekten gösterdiği şey, herhangi bir planlanmış sürecin sınırı: sıfırıncı gün sorununu küçültebilir, ancak saldırganların savunuculardan önce açık bulma güdüsünü bir takvimle ortadan kaldıramaz.
Bunları da okuyun

Stripe ve Advent'in PayPal için bildirilen 53 milyar dolarlık teklifi açıklanıyor
Konuya aşina kişilere göre, ödeme şirketi Stripe ile özel sermaye firması Advent International, PayPal'ı satın almak için 53 milyar doların üzerinde değere sahip ortak bir teklif sunmuş. İşte böyle bir anlaşmanın çevrimiçi ödeme sektörü için ne anlama geleceği ve neden ciddi düzenleyici engellerle karşılaşacağı.

Yapay zeka çöp filmleri açıklanıyor: direkt videoya yönelik nakit avcılığı, yeniden icat edildi
Christopher Nolan'ın büyük bütçeli Odyssey uyarlaması sinemalara seyirci çekerken, küçük bir stüdyo aynı hikayenin kendi yapay zeka tarafından üretilen versiyonunu yayınlamak için yarışıyor. Bu, eleştirmenlerin yapay zeka çöp filmleri adını verdiği, ucuza yapılmış, algoritmik olarak desteklenen ve daha büyük yapımların rüzgarına binen giderek büyüyen bir kategorinin en yeni örneği.

Yapay zeka müzik üreticileri eğitim verisini nereden buluyor ve bu neden hep tartışmayla sonuçlanıyor
Yapay zeka müzik üreticisi Suno'nun iç kaynak kodunu ifşa eden bir hack, şirketin modellerini eğitmek için YouTube'dan on yıllarca süren ses verisini kazıdığını ortaya koyar gibi görünüyor ve üretken yapay zeka şirketlerinin eğitim verisini nereden edindiğine dair tanıdık bir tartışmayı yeniden alevlendiriyor. İşte bu tekrarlayan anlaşmazlıkların ardındaki temel örüntü.

Açık ağırlıklı yapay zeka modeli nedir ve Thinking Machines'ın Inkling'i neden önemli
OpenAI'nin eski teknoloji direktörü Mira Murati tarafından kurulan yapay zeka girişimi Thinking Machines, büyük ölçüde kamuoyundan uzak bir şekilde altyapı inşa etmekle geçen bir buçuk yılın ardından ilk açık ağırlıklı modeli Inkling'i yayımladı. Bu çıkış, sektörün baskın herkese-tek-tip yaklaşımına karşı bir bahis.

Google Görsel Arama 25 yaşında: Aramanın 25 yıldaki dönüşümü
Google, Görsel Arama özelliğinin 25. yıl dönümünü, yapay zeka destekli ve kullanıcının ilgi alanlarına göre sürekli güncellenen yeni bir galeri deneyimiyle kutluyor. Değişiklik, basit bir anahtar kelime aracı olarak başlayan hizmetin bugün geldiği noktayı gözler önüne seriyor.