Başkan Joe Biden tarafından oluşturulan yeni bir siber güvenlik paneline göre, geçen yıl her yerde bulunan bir yazılım parçasında keşfedilen bir bilgisayar güvenlik açığı, potansiyel olarak on yıl veya daha uzun süre güvenlik riskleri oluşturacak “endemik” bir sorundur. Siber Güvenlik İnceleme Kurulu, bir raporda, siber saldırı nedeniyle herhangi bir büyük siber saldırı işareti bulunmadığını söyledi. Log4j kusur, yine de “gelecek yıllar boyunca sömürülecek”.
Yönetim kurulu başkanı, “Log4j tarihin en ciddi yazılım güvenlik açıklarından biridir” dedi. İç Güvenlik Bakanlığı Müsteşarı Rob Silvers, Çarşamba günü gazetecilere verdiği demeçte.
Geçen yılın sonlarında kamuoyuna açıklanan Log4j kusuru, internet tabanlı saldırganların endüstriyel kontrol sistemlerinden web sunucularına ve tüketici elektroniğine kadar her şeyin kontrolünü kolayca ele geçirmesini sağlıyor.
Kusurun kullanımının ilk bariz işaretleri, Microsoft’un sahip olduğu oldukça popüler bir çevrimiçi oyun olan Minecraft’ta ortaya çıktı.
Kusurun keşfi, hükümet yetkilileri tarafından acil uyarılara ve siber güvenlik uzmanlarının savunmasız sistemlere yama yapmak için yoğun çabalarına yol açtı.
Kurul Perşembe günü yaptığı açıklamada, Log4j hatasının “biraz şaşırtıcı bir şekilde” kullanılmasının uzmanların tahmin ettiğinden daha düşük seviyelerde gerçekleştiğini söyledi. Kurul ayrıca kritik altyapı sistemlerine yönelik herhangi bir “önemli” Log4j saldırısından habersiz olduğunu söyledi ancak bazı siber saldırılar habersiz git.
Kurul, Log4j’nin rutin olarak diğer yazılımlarla gömülü olması ve kuruluşların sistemlerinde çalışan bulması zor olabileceğinden, gelecekteki saldırıların büyük ölçüde muhtemel olduğunu söyledi.
Silvers, “Bu olay bitmedi” dedi.
Java programlama dilinde yazılmış Log4j, bilgisayarlarda kullanıcı etkinliğini günlüğe kaydeder. Açık kaynaklı Apache Yazılım Vakfı’nın himayesinde bir avuç gönüllü tarafından geliştirilen ve sürdürülen bu yazılım, ticari yazılım geliştiricileri arasında son derece popülerdir.
Çinli teknoloji devi Alibaba’daki bir güvenlik araştırmacısı, 24 Kasım’da vakfı bilgilendirdi. Bir düzeltmenin geliştirilmesi ve yayınlanması iki hafta sürdü. Çin medyası, hükümetin, kusuru daha önce devlet yetkililerine bildirmediği için Alibaba’yı cezalandırdığını bildirdi.
Kurul Perşembe günü yaptığı açıklamada, Çin hükümetinin güvenlik açığı açıklamalarına yönelik politikasında “rahatsız edici unsurlar” bulduğunu ve bunun Çinli devlet bilgisayar korsanlarına ticari sırları çalmak veya muhalifleri gözetlemek gibi hain araçlar için kullanabilecekleri bilgisayar kusurlarına erken bir bakış sağlayabileceğini söyledi.
Çin hükümeti, siber uzayda yanlış bir şey yapmayı uzun süredir reddediyor ve yönetim kuruluna, yazılım açıkları hakkında daha iyi bilgi paylaşımını teşvik ettiğini söyledi.
Kurul, Log4j kusurunun etkilerini azaltmanın yanı sıra genel olarak siber güvenliği iyileştirmeye yönelik bir dizi tavsiyede bulundu. Bu, üniversitelerin ve topluluk kolejlerinin siber güvenlik eğitimini bilgisayar bilimi derecesi ve sertifika programlarının gerekli bir parçası haline getirme önerisini de içeriyor.
Siber Güvenlik İnceleme Kurulu, uçak kazalarını ve diğer büyük kazaları inceleyen Ulusal Ulaştırma Güvenliği Kurulu’ndan sonra modellenmiştir ve Biden’ın geçen Mayıs ayında imzaladığı bir yürütme emriyle görevlendirilmiştir.
15 üyeli kurul, FBI, Ulusal Güvenlik Ajansı ve diğer hükümet yetkililerinin yanı sıra özel sektörden kişilerden oluşuyor.
Yeni yönetim kurulunun bazı destekçileri, DHS’yi kurup çalışır hale getirmenin çok uzun sürdüğü için eleştirdi.
Biden’ın yürütme emri, kurulu SolarWinds olarak bilinen devasa Rus siber casusluk kampanyasıyla ilgili ilk incelemesini yapmaya yönlendirdi.
Rus bilgisayar korsanları, DHS’deki üst düzey siber güvenlik yetkililerine ait hesaplar da dahil olmak üzere birçok federal kurumu ihlal edebildi, ancak bu kampanyanın tam etkisi hala belirsiz.
Silvers, DHS ve Beyaz Saray’ın Log4j kusurunu gözden geçirmenin yeni kurulun uzmanlığını ve zamanını daha iyi kullanmak olduğu konusunda hemfikir olduğunu söyledi.
FacebookheyecanLinkedin