BLACK HAT EUROPE 2023 – Londra – Microsoft’tan, GitHub yan kuruluşundan ve İspanya merkezli Banco Santander’den araştırmacılar bugün, yazılımdaki zayıf kriptografiyi tespit edip saptayan bir dizi açık kaynak aracı yayınladı; böylece kuruluşlar ve geliştiriciler güvenlik duruşlarını kilitlemeye hızlı bir şekilde başlayabilirler. kuantum sonrası hesaplama gerçekliği için.
Ekip — Banco Santander’in küresel siber güvenlik araştırması başkanı Daniel Cuthbert; Quantum Village’ın kuantum korsanı Mark Carney; GitHub’un kıdemli yöneticisi Niroshan Rajadurai; ve Microsoft’un baş güvenlik mühendisi Benjamin Rodes, açık kaynaklı yazılımdaki kriptografinin durumunu anlamak amacıyla geçtiğimiz yılın yarısı boyunca yaklaşık 4.500 GitHub açık kaynaklı proje deposunu taradı. Sonuçlar iç karartıcıydı; taradıkları platformların neredeyse yarısı hâlâ eskimiş RSA algoritmasını çalıştırıyordu ve yaklaşık dörtte biri SHA-1’e güveniyordu. Her iki algoritmanın da günümüzün bilgi işlem sistemleri için güvensiz olduğu düşünülüyor ve bunların yerini daha güçlü kriptolar alıyor.
Kriptografik Malzeme Listesi Oluşturma
Günümüzde yazılım ve sistemlerde kullanılan birçok eski şifreleme algoritmasını kırabilecek ve sonuçta tehdit aktörlerine sistemleri hacklemek için yeni bir araç sunabilecek, ortaya çıkan ve güçlü kuantum bilişim teknolojisi ve sistemleriyle riskler katlanarak artıyor.
Bazı uzmanlar kuantumun 2030 baharı gibi erken bir tarihte geleceğini ve bunun daha sonra eski şifreleme teknolojilerini tehlikeye atacağını tahmin ettiğinden, dünyanın dört bir yanındaki devlet kurumları kriptografiyi destekleme konusunda alarma geçti. Örneğin ABD’de, Kuantum Bilgi İşlem Siber Güvenliğine Hazırlık Yasası Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) yakın zamanda yayınlanan kurallarını uygular kuantum sonrası şifreleme standartları.
Araştırmacılar – kim proje bulgularını ve araçlarını bugün Black Hat Europe’da sundu — projelerini ve araçlarını GitHub’daki binlerce kod tabanını taramak için kullandıkları GitHub’un CodeQL statik kod analiz aracını temel alarak oluşturdular. Ayrıca her yazılım projesi için kriptografik algoritmaları ve güvenlik durumlarını belgeleyen ve güvenli olmayan bileşenleri işaretleyen kriptografik malzeme listesi (aka CBOM) oluşturdular.
Cuthbert’e göre, aletler güvenlik ekiplerine ve kod geliştiricilere, yazılımda kriptografinin “halı altında” ve “yatağın altında” ne olduğunu keşfetmeleri için kullanımı kolay yöntemler sağlayın ve geliştiricilerin kod tabanlarındaki eskimiş veya güvensiz şifrelemeyi daha güçlü kriptoyla değiştirmelerini sağlayın. CBOM ile uygulayıcı, bir uygulamada hangi kriptografi varlıklarının kullanıldığını analiz edebilir; örneğin: “SHA-2.6 veya 3 gibi modern algoritmalar mı kullanıyor veya [the older] Cuthbert, burada yapılan bir röportajda Dark Reading’e “SHA-1” algoritması dedi. CBOM bir uygulamanın kriptosunun güvensiz olduğunu ortaya çıkarırsa, “projenin geliştiricisi ‘Ah, bunu düzeltmem gerekiyor’ diyebilir” dedi.
Araştırmacılar, inceledikleri her açık kaynaklı proje için bir CBOM oluşturmak amacıyla CodeQL’in değişken analiz aracını kullandılar ve uygulayıcılar ve geliştiriciler artık aynısını onunla yapabiliyor.
Kurumsal Uygulamalarda Açık Kaynak Kodu Yaygınlığı
Github’dan Rajadurai, özellikle kurumsal olarak yazılan herhangi bir uygulamadaki yazılımın %90’ından fazlasının açık kaynak kodu ve araçlardan geldiği göz önüne alındığında, bir uygulamanın tedarik zincirini anlamanın çok önemli olduğunu söyledi. Araştırmacıların GitHub deposu açık kaynaktır ve algoritmaları ve bunların koddaki karşılıklı bağımlılıklarını belirlemek için bir tarama yapmanıza olanak tanır. Aynı zamanda ilgili eylemleri içerir Zayıf kriptografiyi düzeltmek gerekiyordu.
Örneğin, “Geliştiricilerin sorunları nasıl ele almasını istediğinizi belgelerde belirtebilirsiniz” dedi.
Cuthbert sunumunun kendi bölümünde projenin aynı zamanda açık kaynak geliştiricilerini desteklemeyi amaçladığını açıkladı. Koddaki şifrelemeyi geliştirirken “Onlara ‘Hey, arkanızdayız’ diyor.”
Etkinlikte Dark Reading’e konuşan Cuthbert, amacın GitHub’daki tüm depoları taramak olduğunu söyledi. “Her bir arşivi taramak istiyoruz ki bu oldukça iddialı, ancak bu gerçekleşecek.”
Projenin bir sonraki adımı, kuantum sonrası sürecin, kullanılan şifreleme üzerindeki etkisini incelemek olacak. gömülü donanım ve düşük güçlü cihazlardedi. “Daha önce hiç kimse bu çalışmayı yapmamıştı.”