Microsoft, Windows’ta yer alan bir açığın hackerlar tarafından aktif bir biçimde kullanılmakta olduğunu açıkladı. İşin enteresan kısmıysa, bu açığı ilk defa birkaç ay önce gündeme getirenin Google’da çalışan bir güvenlik araştırmacısı olması. Microsoft doğrudan bir suçlama yapmıyor ama Google çalışanının durumu Microsoft’a bildirmek yerine bulduğu açık hakkında bir makale yazmış olması güvenlik çevreleri tarafından bel altına yapılan bir vuruş olarak niteleniyor.
Söz konusu açık, Windows 7 ve Windows 8 işletim sistemlerinde yer alan ve hackerlara ayrıcalıklı kullanıcı yetkisi verebilen bir güvenlik açığıydı. Sıfırıncı gün açığı olarak tanımlanan bu güvenlik zafiyeti Google’da çalışan Tavis Ormandy adlı bir güvenlik araştırmacısı tarafından ortaya çıkartılmıştı. Ormandy, kendi tabiriyle “saçma Microsoft kodlarıyla uğraşmaktansa” söz konusu açığı tüm kamuoyuna ifşa etmeyi tercih etmişti. Ormandy’nin bu tavrı eleştiri alırken, söz konusu Google mühendisinin daha önce de Windows XP’deki Yardım ve Destek Merkezi altında yer alan bir açığı yine aynı şekilde kamuoyuna açıkladığı ve bu açığın bir yama hazırlanamadan önce hackerlar tarafından istismar edildiği ortaya çıkmıştı.
Güvenlik camiası, Ormandy’nin tavrının etik olmadığı konusunda hemfikir. Araştırmacılar, özellikle de rakip firmayla ilgili bir açık yakalayan güvenlik çalışanlarının mutlaka firmayla temasa geçmesi gerektiği görüşündeler. Google, bu ifşaatın kendileri tarafından desteklenmediğini ve Ormandy’nin kişisel blogunda yer aldığını ve kişisel bir çalışmanın ürünü olduğunu söylüyor. Microsoft ise ne Ormandy ne de Google’ın tavrı hakkında herhangi bir açıklama yapmıyor.
Avrupa Parlamentosu’nun bu konuyla doğrudan olmasa da dolaylı yoldan ilgili olan bir maddeyi yeni siber güvenlik şemasına dahil ettiğini daha dün bir haberimizde işlemiştik [1]. Anlaşılan benzer regülasyonlara ABD’de de ihtiyaç var zira firmalar rakipleriyle ilgili açık arayışına girer ve bu açıkları firmayla temas kurmadan internetten ifşa etme yöntemine giderlerse, siber güvenlik bakımından oldukça hareketli günler yaşanmaya başlayabilir.
[1]-AB, Siber Saldırı Yapan ya da Siber Ordu Kiralayan Şirketlerin Kapatılabileceklerini Açıklıyor
Kaynak : 