Kritik Güvenlik Açıklarına Sahip Olduğu Belirtilen Hükümet Siteleri; NCIIPC ve CERT-in Step In: Raporlar

0
10

Güvenlik araştırmacıları, yarısından fazlasının eyalet hükümetlerine ait olduğu bildirilen düzinelerce devlet tarafından işletilen Web hizmetinde binlerce kritik güvenlik açığı bulduklarını söylediler. Hizmetlerin çoğunda, açık kimlik bilgileri, hassas dosyaların sızıntıları ve bilinen hataların varlığını içeren birden fazla sorun vardı. Araştırmacılara göre, istismar edilirse, bu gecikmelerin hükümet ağında daha derin erişime yol açabileceği bildiriliyor. Sorunlar, bu ayın başlarında Ulusal Kritik Bilgi Altyapısı Koruma Merkezi’nin (NCIIPC) bildirimi altına alınmıştı. Şimdi, Ulusal Siber Güvenlik Koordinatöründen (NCSC) üst düzey bir yetkili, “iyileştirici önlemler” alındığını söyledi.

Ele geçirilen hizmetlerin ayrıntıları bir güvenlik önlemi olarak kamuoyuna açıklanmadı. Bununla birlikte, pek çok hükümet bakanlığı, özellikle eyalet düzeyinde, güvenlik önlemlerini hâlâ yakalıyor. Ancak belli ki, farklı departmanların farklı tehdit profilleri vardır.

Kendilerine Sakura Samurai diyen araştırmacılar topluluğu, Şubat ayı başlarında NCIIPC’ye ulaştı. Ancak Hindustan Times’ın bir raporuna göre, işaretlenen sorunlar iki haftadan fazla bir süredir çözülmeden kaldı.

20 Şubat’ta, Sakura Samuray üyesi John Jackson, ihlali detaylandıran bir blog yayınladı ve ABD Savunma Bakanlığı Güvenlik Açığı İfşa Programı’nın (DC3 VDP) Hindistan siber güvenlik kanadının bildirim almasına yardımcı olmak için nasıl dahil edilmesi gerektiğini açıkladı. Rapor, eylemdeki gecikmenin kötü aktörlerin hassas bilgilere erişmesine ve devlet sunucularına karşı yıkıcı operasyonlar yürütmesine neden olabileceğini öne sürüyor.

Devlet Web hizmetlerinde bulunan kritik sorunlar, bilgisayar korsanları için yetkisiz erişime izin verebilecek açık kimlik bilgilerini içeriyordu. Bunun dışında Jackson ve ekibi, 35 kimlik bilgisi çifti örneği (bir hedefin kimliğini doğrulamak için kullanılabilir), üç hassas dosya örneği, düzinelerce polis FIR’si ve 13.000’den fazla tanımlanabilir bilgi örneği bulduklarını yazdı. Son derece hassas hükümet sistemlerini tehlikeye atabilecek potansiyel hatalar da keşfedildi. Team Sakura Samurai, NCIIPC tarafından yürütülen Sorumlu Güvenlik Açığı Açıklama Programının (RVDP) bir parçası olarak gov.in sistemlerini test etti. RVDP, geliştiricilerin, araştırmacıların ve güvenlik uzmanlarının potansiyel bilgi güvenliği riski sorunlarını şirketlere ve ülkelere bildirmesine olanak tanır.

Jackson blogda şu açıklamayı yaptı: “Hindistan Hükümeti’nin yerinde bir RVDP olmasına rağmen, güvenlik açıklarını hemen ifşa etme konusunda kendimizi rahat hissetmedik. Bilgisayar korsanlığı süreci, her zamanki gibi yapılan güvenlik araştırmasının standart durumundan çok uzaktı. Toplamda, raporumuz 34 sayfalık devasa bir güvenlik açığı raporu oluşturdu. Niyetimizin iyi olduğunu biliyorduk, ancak ABD Hükümeti’nin durumu göz önünde bulundurmasını sağlamak istedik. “

Sakura Samurai daha sonra ilk konuşmaları kolaylaştırmaya yardımcı olmak için DC3 VDP ile koordine oldu. 4 Şubat’ta ABD kuruluşu NCIIPC’yi bir tweet ile etiketleyerek “E-postanızı kontrol edin ve sohbet edelim” dedi.

Hey @ NCIIPC! İlgilenebileceğinizi ifşa etmemiz gereken bazı güvenlik açıkları olan bir araştırmacımız var. E-postanızı kontrol edin ve sohbet edelim. ☎️ ????

– DC3 VDP (@ DC3VDP) 4 Şubat 2021

NCSC, Pazar günü Jackson ve ekibiyle bir iletişim kanalı açtı. Ulusal Siber Güvenlik Koordinatörü (NCSC) Korgeneral Rajesh Pant, Hindustan Times’a gerekli önlemlerin alındığını söyledi. “NCIIPC (Ulusal Kritik Bilgi Altyapısı Koruma Merkezi) ve Cert-IN (Hindistan Bilgisayar Acil Durum Müdahale Ekibi) tarafından iyileştirici eylemler gerçekleştirilmiştir… NCIIPC yalnızca Kritik Bilgi Altyapısı sorunlarını ele alır. Bu durumda bakiye, CERT-In tarafından derhal bilgilendirilen diğer eyalet ve departmanlarla ilgiliydi. Kontrol ettiğimiz eyalet düzeylerindeki kullanıcılar tarafından bazı eylemlerin beklemede olması muhtemeldir. “

WhatsApp’ın yeni gizlilik politikası, gizliliğinizin sonunu mu ifade ediyor? Bunu, Apple Podcasts, Google Podcasts veya RSS aracılığıyla abone olabileceğiniz, bölümü indirebileceğiniz veya aşağıdaki oynat düğmesine basabileceğiniz haftalık teknoloji podcastimiz Orbital’de tartıştık.

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz