sıfır gün güvenlik açıkları
Google’ın güvenlik odaklı Proje Sıfır ilk kayıtları tutmaya başladı sömürülen sıfır gün güvenlik açıkları 2014’te popüler yazılımlarda. O zamandan beri, başka hiçbir yıl bu kadar açık istismar görmedi 2021 olarak, teknoloji şirketi bu hafta duyurdu.
Yazılım piyasaya sürülmeden önce hacklenerek keşfedilen güvenlik açıkları olarak adlandırılan zero-günler tespit edilmemiş hatalardır düzeltilmemiş olanlar Yazılımı yapan şirketler tarafından. Programlardaki açıklıklar bilgisayar korsanlarının karmaşık saldırılar gerçekleştirmesine izin verebilir.
“2021, Project Zero izlemeye başladığından bu yana en çok kaydedilen 58 vahşi 0 günün tespitini ve ifşasını içeriyordu.” dedi Google araştırmacısı Maddie Stone, Blog yazısı Salı yayınlandı.
Stone, bu sayının daha önce kaydedilen, 2015’te keşfedilen 28 sıfırıncı gün rekorunun iki katından fazla olduğunu söyledi.
Buldukları sıfır gün mutlaka daha akıllı hale gelmiyor. Stone, 2021’de Google tarafından izlenen istismarların büyük çoğunluğunun özellikle yeni olmadığını ve bilgisayar korsanlarının her zaman hedeflediği “aynı hata kalıplarını ve istismar tekniklerini kullanıyor ve aynı saldırı yüzeylerinin peşinden gidiyor” gibi göründüğünü yazıyor.
Geçen yılın en büyük hedeflerinden bazıları Apple’ın iOS ve MacOS, Microsoft Windows ve Exchange’i ve tarayıcısı Chrome’da 14 sıfır gün rekoru kaydeden Google’ın kendisiydi (yediden yukarı 2020’de). Bu arada Google’ın Android’i yedi gördü sıfır gün.
Soru şu: neden bu kadar çok yeni hata keşfediliyor? Yazılım güvenliğinin tembelleşmesi nedeniyle mi?? Bilgisayar korsanları hacklemede daha iyi mi oluyor? Google araştırmacıları, bunun aslında güvenlik endüstrisinin sorunları hakkında bilgi bulma ve paylaşma konusunda daha iyi hale gelmesinden kaynaklandığını düşünüyor.
“Sıfırda faiz ve yatırımda istikrarlı bir büyüme olduğuna inanıyoruz.Son birkaç yılda saldırganlar tarafından günlük istismarlar ve güvenliğin hala acilen iyileştirilmesi gerekiyor. 2021’de -günlük istismarlar.”
Genel olarak, şirketler güvenlik sorunlarını halka açıklama konusunda daha iyi görünüyorlar. Stone, Google’ın hedeflerinden birinin sıfırıncı gün açıklamalarının endüstri çapında bir norm haline geldiğini görmek olduğunu belirterek, “Daha yapılacak çok iş var” diye yazıyor.
Google’ın tam kaydına göz atabilirsiniz sürekli güncellenen bu sistemde izlenen sıfır gün sayısı elektronik tablo. Gördüğünüz gibi, 2022, bu yılın ilk dört ayında keşfedilen bir düzineden fazla sıfırıncı gün güvenlik açığıyla, hatalar için şimdiden iyi bir başlangıç yaptı.