Son haftalarda herkes bir clearinghouse duyurdu; biz de Athena'yı duyurduk. Fakat Athena'yı farklı kılan şey, duyurulduğunda zaten çalışıyor olmasıydı. Aylar önce sessiz sedasız inşa edilmiş, müşteri talepleri doğrultusunda sürekli iyileştiriliyordu. Diğerleri daha gürültülü bir şekilde ortaya çıktı ve görünüşe göre henüz var olmayan sistemlerini duyurdular. Bu yazıda, bu clearinghouse çılgınlığının arkasındaki gerçekleri ve neden çoğunun işe yaramayacağını anlatacağım.
Clearinghouse aslında sadece veri. Açık kaynakta yıllardır var olan bir kavram: NVD, GitHub Advisory Database, OSV... Hepsi aynı şey: bir veri havuzu ve bir ön kapı. Bu yaz duyurulan 'clearinghouse'lar yeni bir tür değil; sadece yeni bir tür veri topluyorlar: açık kaynağın uzun kuyruğuna dağılmış, ifşa öncesi zafiyetler. Bu, şimdiye kadar toplanmış en dağınık ama en kapsamlı güvenlik araştırma projesi. Ancak veri havuzu yeni değilse, hikaye de veri havuzu değil.
Veri hareketsizdir. Bir veritabanındaki bulgu hiçbir şeyi yamamaz. Asıl değer, eyleme geçmekte: bulguyu yeniden derlenmiş, test edilmiş, imzalanmış bir yapıya dönüştürmek. Chainguard'ın yıllardır yaptığı tam olarak bu: binlerce açık kaynak projesini izler, bir danışma yayınlandığı anda tepki verir, kaynaktan yeniden derler, test eder, imzalar. Çoğu CVE yaklaşık iki günde düzeltilir. Bu yüzden Athena bizim için en önemsiz şeydi; fabrikamız zaten vardı. Clearinghouse sadece yeni bir ön kapı.
Nasıl Önlem Alınmalı?
Peki neden açık kaynakta aniden özel zafiyetler yağmaya başladı? Cevap: Bu bir yan ürün. Yapay zeka modelleri, çalışan bir uygulamaya yönlendirildiğinde, 'Bunu kır' komutuyla kodun tüm yüzeyini tarıyor. Kendi kodunuzdaki hataları düzeltirsiniz, ancak uygulamanın neredeyse tamamı açık kaynak. Model, sizin yazdığınızla ithal ettiğiniz arasındaki çizgiyi umursamaz; üç katman aşağıdaki bakımsız bir bağımlılığa kadar sızar. Ortaya çıkan çalışan sömürü, ait olmadığınız bir kod için bir yere gitmek zorundadır. İşte tüm bu clearinghouse'ların yanıtı budur.
Bu yoğunlaşma, bir sonraki soruyu belirler: Kaç tane olmalı? Zamanlama acımasız: Ortalama sömürü süresi artık eksi yedi gün. Geçen yıl silah haline getirilen zafiyetlerin çoğu, yama kamuya açıklanmadan bir hafta önce sömürülmeye başlandı. Bu sayı 2024'te sıfırı geçti. Saldırgan artık yamayla yarışmıyor; yama başlamadan bitiriyor. Üstelik yayınlanan bir yama, hatayı işaret eden bir haritadır. Bu nedenle, özel zafiyet verilerini işleyen birkaç büyük clearinghouse'un ortaya çıkması kaçınılmaz.
Birkaç büyük clearinghouse, güvenlik topluluğu için bir fırsat. Ancak asıl zorluk, bu verileri hızlı ve otomatik bir şekilde eyleme dönüştürmek. Chainguard'ın yaptığı gibi, bir yama bulunduğu anda sizin ortamınıza uygun hale getirilmelidir. Bu, sadece veri toplamak değil, gerçek bir güvenlik altyapısı kurmak demek. Unutmayın, clearinghouse'ların nihai hedefi kendilerini gereksiz kılmaktır: tüm zafiyetler anında düzeltildiğinde, bu havuzlara ihtiyaç kalmaz. O zamana kadar, birkaç iyi işleyen sistem, güvenlik dünyamızı ayakta tutacak.
Kaynak: thehackernews.com