Tam açıklama (üretici bir yama sağlamadan bile bir güvenlik açığının açıklamasını yayınlamak) şöhret peşinde koşan egomanyakların icadı değildi. Ve kahramanlar, “Sorumlu İfşaat” hikâyesinin de ima ettiği gibi, kesinlikle sorumsuzca davranmadılar. Tam açıklama, kendini işine adamış güvenlik araştırmacılarının, güvenlik sorunlarını halının altına süpürmeye çalışan veya basitçe görmezden gelmeye çalışan üreticilere verdiği umutsuz bir yanıttı. Ya da aynı adı taşıyan e-posta listesinin kurucularından biri olan Leonard Rose'un 2002'de söylediği gibi: “Bildiğimiz kadarıyla, yalnızca içerdekilerin değil, herkesin ihtiyacımız olan bilgiye erişmesini sağlamanın tek yolu tam açıklamadır.”
Duyurudan sonra devamını okuyun
Bunun şu anda ne kadar alakalı olduğu, yapay zeka destekli, yaygın olarak kullanılan bir IDE olan Cursor'daki kritik bir boşlukla gösterilmektedir. Bir deponun “git.exe” adında (kötü amaçlı) bir dosya içermesi yeterlidir. Bir geliştirici Cursor'da bu depoya başvuran bir proje açtığında, bu dosyayı haklarıyla birlikte çalıştıracaktır. Oyun bitti çünkü bir bilgi hırsızı tüm şifreleri ve oturum açma bilgilerini anında okuyacak ve bunları efendisine ve efendisine gönderecektir. Aaron Portnoy bu güvenlik açığını Aralık 2025'te keşfetti ve hemen üreticiye bildirdi. O zamandan beri oraya birkaç kez döndü. Ancak altı aydan uzun süre ve 197'den fazla yeni sürümden sonra bu sorun hala mevcut; çözüm yok. İşte bu yüzden Aaron ipi çekti ve şimdi her şeyi tam açıklama yoluyla, yani yamalar olmadan, yalnızca koruma olarak önerdiği hafifletici faktörlerle birlikte yayınlıyor.
“Vulnocalypse” Koordineli Açıklamayı gömüyor
Halihazırda çok sayıda sıfır gün güvenlik açığı mevcut; Pek çok satıcı ve açık kaynak ekibi yamalara ayak uyduramıyor. Bu vakayı özel kılan ve onu Nightmare Eclipse'i çevreleyen sıfır gün dramasından veya sürekli büyüyen halka açık 0day “bikini” koleksiyonundan ayıran şey, Exploitarium'un arkasındaki kişidir. Çünkü yabancı değil, aksine güvenlik çevrelerinde uzun süredir tanınan biri.
Çünkü Aaron Portnoy sayısız güvenlik açığını bizzat tespit etmekle kalmadı, üreticilerle iş birliği yaparak bunları ortadan kaldırdı. Diğer şeylerin yanı sıra, koordineli ifşaat için ilk büyük programlardan biri olan Zero Day Initiative'in güvenlik araştırmalarından uzun yıllar sorumluydu ve 2007'de hacker rekabeti pwn2own'u kurdu. İfşaatın nasıl çalıştığını bilen biri varsa o da Aaron'dur. Ve eğer tam ve koordinesiz bir şekilde açıklamaya başvurursa kulübe yanar. Veya meslektaşım Christopher Kunz'un kenardan omuz silkerek araya girmesiyle: “Sözümüm: Koordineli açıklama bitti.”
Jürgen Schmidt uzun yıllar c't'de güvenlik departmanına başkanlık etti, Haberler Security'yi kurdu ve şu anda Haberler'de Kıdemli Güvenlik Görevlisi olarak görev yapıyor. Halen şirketlerde güvenlikle ilgilenen BT profesyonelleri için Haberler Security Pro (Haber/Haberlerc-pro) ile bir topluluk kuruyor.
Jürgen Schmidt bu analizi ilk olarak özel Haberler Security PRO haber bülteni için yazdı; burada her hafta şirketlerdeki güvenlik yöneticileri için BT güvenliği dünyasında olup bitenleri sıralıyor.
Duyurudan sonra devamını okuyun
(Evet)

Bir yanıt yazın