btbilgi

Anlaşılan işletim sistemleri var oldukça güvenlik açıkları asla bitmeyecek. Her sene yeni sürümlerde güncellemeler ile çözülemeyen açıklar keşfediliyor. En yenileri ise Linux, macOs, Windows ve FreeBSD işletim sistemleri tarafından kullanılan USB sürücülerinde ortaya çıktı. Purdue Üniversitesi’nden Hui Peng ve İsviçre Federal Teknoloji Enstitüsü Lozan’dan Mathias Payer’ın araştırmalarına bakılırsa, bu sistemlerde 26 yeni güvenlik açığı keşfedilmiş.

Araştırmacılar bu yeni USB açıklarını ‘USBFuzz’ adı verilen yeni bir araçla ortaya çıkartmışlar. Güvenlik uzmanlarının ‘fuzzer’ dediği türden araçlar, başka programlara büyük miktarlarda geçersiz, beklenmedik veya rastgele veri gönderen uygulamaları test etmeye yarayan yazılımlara deniliyor. Araştırmacılar bu araçlar sayesinde test edilen yazılımın davranışlarını analiz ederek, kötü niyetli kişiler tarafından kullanılabilecek yeni hataları keşfetmeye çalışıyorlar.

Peng ve Payer’in geliştirdiği USBFuzz, günümüz işletim sistemlerinin barındırdığı USB sürücü yığınını test etmek için özel olarak tasarlanmış. USBFuzz yazılım bazlı sanal bir USB cihazı gibi davranıyor ve girdi/çıktı işlemlerini gerçekleştiren USB sürücülerine rastgele veri yüklüyor. USBFuzz’ın tüm platformlara uyarlanıp çalıştırılabilmesinin kolay olduğu, bu sebeple ana test edilen sistem olan Linux dışında başka işletim sistemlerinde de denendiği aktarılmış. Teste sokulan işletim sistemleri şöyle listelenmekte:

  • Linux çekirdeğinin son dokuz sürümü: v4.14.81, v4.15, v4.16, v4.17, v4.18.19, v4.19, v4.19.1, v4.19.2 ve v4.20-rc2 (testler sırasında var olan son sürüm)
  • FreeBSD 12 (en son sürüm)
  • MacOS 10.15 Catalina (en son sürüm)
  • Windows (en son güvenlik güncellemelerinin yüklü olduğu sürüm 8 ve sürüm 10)

Araştırmacılar USBFuzz aracılığı ile 26 adet yeni güvenlik açığı bulmuşlar. Bu hataların biri FreeBSD’de, üçü MacOS’ta ve dört tanesi da Windows 8 ve Windows 10‘da çıkmış. Hataların büyük kısmı (18 adet) ve en tehlikeli olanları Linux’ta bulunmuş. Açıkların USB çekirdeklerinde, USB ses/ağ sürücülerinde, USB ana bilgisayar denetleyici sürücüsünde ve USB kamera sürücülerinde keşfedildiği bilgisi veriliyor.

Ekibin USBFuzz üzerindeki çalışmalarını açıklayan bir bilimsel makale yayımlanmış. Peng ve Payer çalışma sonuçlarını Ağustos 2020’de sanal şekilde yapılması planlanan Usenix Güvenlik Sempozyumu’nda sunmayı planlamışlar. Sunumun ardından USBFuzz aracının GitHub’da açık kaynaklı bir proje olarak yayınlanacağı aktarılıyor.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.