Dijital kıyamet mi geliyor? Siber güvenlik araştırmacıları, 2030’lu yıllarda dünya genelinde milyonlarca bilgisayar ve cihazı etkilemesi beklenen “2036 Yılı Problemi” ve “2038 Yılı Problemi” olarak bilinen yazılım hatalarının bugün bile bilgisayar korsanları tarafından istismar edilebileceği konusunda uyardı.
Bilgisayar sistemlerinde zaman genellikle 1 Ocak 1970’ten bu yana geçen saniyeler olarak tutuluyor. Bu süreyi hesaplamak için kullanılan 32 bitlik tam sayı 19 Ocak 2038’de ulaşabileceği son değer olan 2.147.483.647’ye çıkacak.
Sınır aşıldığında, sistem zamanı sıfırlayarak 13 Aralık 1901’e dönecek. Bu durum özellikle endüstriyel kontrol sistemlerinde ve kritik altyapılarda veri bütünlüğünün bozulması, sistemlerin durması ve hatta fiziksel kazalar gibi büyük sorunlar yaratabilir.
Benzer şekilde, “2036 Yılı Problemi” de Ağ Zaman Protokolü’nü kullanan eski sistemlerde 7 Şubat 2036’da ortaya çıkacak.
BİLGİSAYAR KORSANLARI BUGÜN BİLE SALDIRABİLİR
Ancak araştırmacı Trey Darley ve Pedro Umbelino’ya göre bilgisayar korsanlarının bu yazılım hatalarını kullanmak için 2036 ya da 2038’i beklemesine gerek yok.
İki araştırmacı, bilgisayar korsanlarının GPS sinyallerini yanıltarak, dosya formatındaki belgeleri manipüle ederek ya da ağ protokollerindeki zaman damgalarını bozarak sistemleri bugünden 2038 yılına atlatarak çökertmelerinin mümkün olduğunu vurguluyor.
Kısa süre önce BruCON Güvenlik Konferansı’nda sunum yapan ikiliden Umbelino “Bugün savunmasızız. Minimum teknik bilgiye sahip bir bilgisayar korsanı bile bu zayıflığı kullanarak altyapılara saldırabilir” diyerek uyardı.
İŞTE TEHLİKE ALTINDA OLAN CİHAZLAR
Araştırmacıya göre internet kullanımının olduğu binlerce cihaz, bunlar arasında sunucular, endüstriyel sistemler, akıllı televizyonlar, yazıcılar, alarm sistemleri ve akıllı saatler de var, risk altında.
Daha da kritik olanı enerji santralleri, nükleer denizaltılar, uydular, tren sistemleri ve su tesisleri gibi milyonlarca gömülü sistem bu zayıflıktan etkilenebilir.
YAZILIM HATASI MI? SİBER GÜVENLİK ZAFİYETİ Mİ?
Umbelino’ya göre 2038 problemini sıradan bir yazılım hatası olarak değil, siber güvenlik zafiyeti olarak ele almak gerekiyor. Bu yaklaşımla yazılım hatalarının güvenlik açıklarının biriktirildiği uluslararası veri tabanı olan CVE sisteminde kayıt altına alınabileceği ve önceliklendirme yapılabileceği belirtiliyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın bu konuda ilk adımı attığı ifade ediliyor. Dover Fueling Solutions firmasına ait ProGauge yakıt ölçüm sistemlerinde 2038 Yılı Problemi’nden kaynaklanan bir açık tespit edildi. Bu açık saldırganların sistem saatini manuel değiştirerek saldırı başlatmasına olanak tanıyordu.
Ancak kısa sürede bu açığa yama yapıldı.
2000 YILINDA YAŞANANDAN ÇOK DAHA KARMAŞIK
Araştırmacılar, yaklaşan sorunu “2000 Yılı Problemi’nin bin kat karmaşık versiyonu” olarak tanımlıyor. 2000 yılındaki kriz, küresel kod güncellemeleriyle önlenmişti.
Ancak bu kez sorun sadece yazılımda değil; araştırmacılar birçok sistemin donanımı değiştirilmeden sorunun çözülemeyeceğini ifade ediyor. Umbelino, 2038’de 2000’dekinden bin kat fazla bağlantılı sistem olacağını söylüyor.
Ancak buna karşılık yetkililerin elindeki bütçe ve zamanın yeterli olmadığı vurgulanıyor. Hangi sistemlerin bozulacağının bilinmemesi de durumu karmaşıklaştırıyor.
Araştırmacılar devletlerin ve şirketlerin öncelikle en kritik sistemleri tespit edip güncellemesi, güncellenemeyenler için ise acil eylem planları hazırlaması gerektiğini söylüyor. (Kaynak: Nefes Gazetesi)
İLGİNİZİ ÇEKEBİLİR
Kaynak: Mynet
