🎧 AirPodslarda Açık, Mikrofonunuz Dinlenebilir! - Hafta 27/2024
Herkese selamlar dostlar yeni bir bültene hoş geldiniz! Bugün 7 Temmuz 2024.
Bültende bu hafta Airpodslara tamamen erişim kontrolü veren kritik bir açık keşfediliyor, sunucunuza erişmenize olanak sağlayan OpenSSH yazılımında da kritik bir açık keşfediliyor, Apple Rusya'dan gelen yasaklama isteklerini dinleyerek birçok VPN uygulamasını kapatıyor ve YouTube sahte yapay zeka videolarını kaldırmak için sonunda adım atıyor.
Az önce bahsettiklerim ve daha fazlasına geçmeden önce bu bölümün sponsoru olan Hosting Dünyam'dan bahsetmek istiyorum.
Hosting Dünyam ucuz ve kaliteli VDS çözümleri sağlıyor. Seçenekler arasında Intel ve Ryzen işlemcili VDS'ler seçebiliyorsunuz, seçtiğiniz VDS'leri özelleştirme imkanı sağlıyor.
Örneğin seçtiğiniz pakete özel ek RAM, disk, CPU çekirdeği gibi şeyleri de satın alabiliyorsunuz. Böylece tamamen isteğinize uygun bir hale getirebiliyorsunuz.
Kurulum aşamasındaysa Ubuntu, FreeBSD, Windows, Debian dahil olmak üzere birçok işletim sistemini tek tıkla seçip kurabiliyorsunuz.
Sunucular Tier III standartlarına sahip veri merkezlerinde barındırılıyor. Bu da demek oluyor ki sunucularınız elektrik kesintilerine karşı yüksek korumaya sahip.
1 Gbit porta sahipsiniz ve sunucularda trafik limitlemesi yok! Dilerseniz de 10 aylık ücret ödeyerek 12 ay kullanabiliyorsunuz.
İstanbul lokasyonunda çalışan kaliteli VDS satın almak için bağlantıya tıklayabilirsiniz. Bültene sponsor oldukları için teşekkür ediyoruz.
Şimdi haberlere geçelim!
🤖 Yapay Zeka
Yapay zeka yüzünden Google'ın sera gazlarını atmosfere salması %50 arttı. Yapay zekanın hiç konuşulmayan yanlarından birisi de atmosfere olan etkisi.
OpenAI, Google, Microsoft gibi şirketlerin bu büyük yapay zekaları çalıştırabilmesi için binlerce bilgisayarı soğutması gerekiyor ve bu soğutma işleminde bir sürü zararlı gaz atmosfere salınıyor. Zaten bu yapay zeka öncesinde de sorundu çünkü milyonlarca veri merkezini soğutmak kolay bir iş değil. Hatta Google gibi şirketler bazı dünya ülkelerinden bile daha fazla enerji tüketiyor. Şimdi bir de yapay zeka geldi o da ateşe odun oldu. Yapay zeka bu enerji tüketimi seviyeleriyle ne kadar sürdürülebilir? Zamanla göreceğiz.
Brezilya, Meta'nın kendi ülkesindeki kullanıcıların verileriyle yapay zekayı eğitmesini yasakladı. Meta veri eğitimi konusunda açık davranıyor ama açık davranınca da ülkeler sorun çıkartıyor. Mesela OpenAI hiçbir zaman hangi verilerle eğittiğini açık açık söylemiyor yahut Google da söylemiyor. Gerçi Brezilya'nın ve başka ülkelerin tamamen hakkı bir şey demiyorum. Engellemek istiyorlarsa engelleyebilmeliler ama bir yandan Meta'nın yapay zeka gelişimi konusunda da ilerleyebilmesini istiyorum çünkü OpenAI gibi şirketlerin aksine yapay zekalarını açık modelle yayınlıyorlar.
Meta ve yapay zeka demişken, Meta metin istemlerinden yüksek çözünürlüklü 3 boyutlu varlıklar üretmenizi sağlayan bir model duyurdu.
Metinden 3 boyutlu varlığa dönüştürmesi 30 saniye sürüyor ve bunu daha sonrasında düzenleyebiliyorsunuz. Henüz genel kullanıma açılmadı ama videolara baktığımızda güzel gözüküyor.
Cloudflare kullanıcılarını yapay zeka botlarından korumak için bir özellik yayınladı. Biliyorsunuz 2 haftadır Perplexity AI, OpenAI gibi şirketlerin robots.txt dosyasına saygı göstermediğini ve benim sitemden veri çekme demenize rağmen veri çektiklerini biliyoruz. Cloudflare makine öğrenme sistemleriyle bu durumu tespit edip kullanıcı aracısını değiştiren botların sitenize erişmesini engelliyor.
Cloudflare müşterilerinin %85'i bu özelliği aktif etmiş. Ben de ettim. Nedeni yapay zekaya karşı çıktığımdan değil ama bu şirketlerin bu şekilde sözlerine uymaması beni sinir ediyor. Cloudflare kullanıcısıysanız ayarlar kısmından aktifleştirebiliyorsunuz.
🔒 Güvenlik
Windows'ta grafik arayüzünden çözülemeyen bir güncelleme var. Bu güncellemeyi çözmek için powershellden komutlar çalıştırmanız gerekiyor.
Bunu fırsat bilen hackerlar YouTube'da zararlı yazılım içeren rehber videoları hazırlamışlar. Powershell scripti çalıştırmanızı istiyorlar ve bunu çalıştırdığınızda sisteminizdeki bilgileri çalan bir zararlı yazılım yükleniyor.
YouTube'da böyle çok video var, rehber diye sorununuzu çözüyoruz diye zararlı yazılım yüklemenize neden oluyorlar. YouTube'dan indirdiğiniz dosyalara ekstra dikkat edin.
Airpodslarda kritik bir açık keşfedildi. Airpods'unuzun MAC adresini bilen herhangi birisi Airpods'a bağlanabiliyor, çalan şeylerle mikrofonunuzu dinleyebiliyor veya müzik oynatabiliyor. Açığa bakacak olursak, Apple'ın özel mülkiyet "Fast Connect" adında Bluetooth cihazına bağlanma protokolü varmış. Bu protokoldeki bir açık nedeniyle zararlı aktör cihazınızın MAC adresini biliyorsa doğrulamayı ve şifrelemeyi atlayarak cihaza bağlanabiliyor. MAC adresini bulmak da çok kolay biliyorsunuz. Zaten Bluetooth cihazını taradığında size MAC adresini söylüyor. Güncelleme yayınlanmış, mutlaka yapmanızı tavsiye ediyorum. Airpods'u iPhone cihazınıza bağladıktan sonra Bluetooth kısmından güncellemeyi yapabiliyorsunuz.
3 milyon iOS ve macOS uygulaması az daha tedarik zinciri saldırısına maruz kalabilirdi ve Apple mağazasında milyonlarca zararlı yazılım görebilirdik. Apple geliştiricilerinin bağımlılıkları yönetmek için CocaPods adında kullandığı bir yazılım varmış. CocaPods'u şu an kullanan 3 milyon uygulama var ve bu yazılımda 3 tane kritik açık bulunmuş.
İlk açıkta oltalama saldırısında URL'yi değiştirmeleri saldırgana tek tıkla geliştirici hesabına erişmesine izin veriyor. Herhangi bir şey yapmalarına gerek yok, sadece bağlantıya tıklamaları yeterli. Bunu da URL'yi ve HTTP başlığını değiştirerek yapıyorlar. Kolay bir şekilde geliştiricinin hesabına erişebiliyorsunuz.
İkinci açıktaysa terkedilmiş uygulamaların sahipliğini çok kolay bir şekilde alabiliyorsunuz. Herhangi bir insan terkedilmiş bir projeye HTTP isteği atarak projeyi alabiliyor ve yönetebiliyor. Düşünün bir uygulama geliştirmişsiniz 5 senedir ellemiyorsunuz ama App Store'da var ve kullanıcılar uygulamayı kullanıyor. Bir HTTP isteği atarak yeni proje sahibi sizsiniz. Artık içerisine zararlı yazılım gömebilirsiniz.
Son açıktaysa direkt CocaPods'un sunucularında bash ile script çalıştırabiliyordunuz. Bunu da e-posta doğrulama işlemi yaparken gönderilen isteğe bash ekleyerek yapabiliyordunuz.
Tabii bu açıkların hepsini güvenlik araştırmacıları keşfediyor ve bildiriyor. Bütün bu açıklar kapatılmış ve CocaPods'un söylediğine göre bu açıkları kullanan herhangi birisi yok ama o kadar kritik açıklar ki güvenlik araştırmacıları keşfetmese milyonlarca iPhone ve macOS uygulamasında çok büyük sıkıntılar çıkabilirdi.
OpenSSH yazılımında keşfedilen bir açık doğrulama olmadan sunuculara erişim izni veriyor. Bu açık 2006 yılında bulunmuştu ve çözülmüştü sonra 2020 yılında tekrar keşfedildi ve çözüldükten sonra şu an tekrar keşfedildi. Bu arada çok tehlikeli bir açıkmış gibi duruyor, bir açıdan tehlikeli ama bir açıdan da o kadar tehlikeli değil, nasıl çalıştığına bakalım.
Öncelikle sisteminizde glibc yüklü olması lazım bu hemen hemen bütün Linux dağıtımlarında var doğal olarak. Buradaki açık glibc'de sıfıra bölme girişimleri gibi potansiyel olarak ciddi olaylara yanıt veren bir bileşen olan sinyal işleyicinin hatalı yönetiminden kaynaklanıyor. Siz SSH'e istek atıp verilen süre içerisinde başarılı bir şekilde kimlik doğrulaması yapmadığınızda bu açık kullanılarak sisteme doğrulama olmadan giriş yapılabiliyor ama bu açığın çalışabilmesi 8 saati buluyor ve 10.000 defa istek atmanız gerekebiliyor.
Bu da demek oluyor ki eğer ki sunucunuzda fail2ban gibi bir yazılım yüklüyse ve 3 istekten sonra kullanıcıları banlıyorsa zaten bundan etkilenmiyorsunuz. Aynı zamanda 64 bit sistemlerde bellekteki adresleri çok daha fazla olduğundan bu açığı çalıştırmayı başaramamışlar.
Birçok sunucuda üst üste ssh istekleri yasaklanıyor dolayısıyla çoğu insan etkilenmeyecektir ama etkilenenler de olacaktır sonuç olarak bu açığın kritik olduğu gerçeğini değiştirmiyor. Sunucularınıza gelen OpenSSH güncellemelerini mutlaka yapın ve suncularınızda ssh için Fail2ban yüklü değilse mutlaka ayarlamaları yapın.
Pavel Durov ile yapılan bir röportajda Durov Telegram'da çalışan insan sayısının 30 olduğunu söyledi. Bu da güvenlik araştırmacıları tarafından soru işaretiyle karşılandı çünkü Telegram gibi bir uygulamada toplam 30 kişinin çalışması sıkıntılı olabilir. Güvenlik kısmında kaç kişi çalışıyor mesela? Güvenlikle ilgili gelen mesajlarla kimler ilgileniyor? Yasal isteklerle kimler ilgileniyor? Güvenlik konusunda şirket içerisinde gözden geçirilme var mı? Bütün bunlar 30 kişiyle yapılması neredeyse imkansız, kaldı ki Telegram'ın boyutundaki bir şirkette böyle olması çok daha sıkıntılı. Telegram güzel bir uygulama olabilir ama güvenlik konusunda kendilerine hiç güvenmiyorum. İşin daha da üzücü yanı kendilerini en güvenli mesajlaşma uygulaması olarak tanıtmaları.
MacOS'te yayınlanan ChatGPT uygulamasındaki bütün sohbetleriniz bir metin dosyası olarak şifrelenmeden sisteminize kaydediliyormuş. Bu da demek oluyor ki sisteminize erişen herhangi birisi yahut dosya izni olan herhangi bir uygulama ChatGPT ile yaptığınız mesajlaşmalara kolayca erişebilir. Bu durumu birisi Threads'te yayınlayınca OpenAI bir güncelleme yayınladı ama işin sıkıntılı yanı ne biliyor musunuz? Bu uygulamayı yayınlamadan önce oradaki bir geliştirici bunu düşünmedi mi? Sohbetleri direkt metin dosyası olarak saklamanın kötü olacağını niye düşünmediniz? Dünyanın en iyi mühendislerini çalıştırıyor olmanız gerekmiyor mu? Bu durum benim OpenAI'a olan genel güvenimi kesinlikle azaltıyor.
Zaten bunun üstüne çıkan başka bir haberde OpenAI 2023 yılında gizli anahtarlarını çaldırmış. Bu da bir zararlı aktörün OpenAI'a ait olan gizli dokümanlara, bilgilere erişmesine neden olmuş. İşte bu yüzden alınan kararları sorgulamak lazım. Daha basit bir güvenlik önlemini uygulamayı yazarken koymuyorsa kendi sistemlerini nasıl koruyordur acaba?
📰 Bahsetmeye Değer Haberler
YouTube artık sahte yapay zeka videolarını kaldırmak için bir sistem geliştirdi. Sesiniz yahut görüntünüz kullanılarak sahte bir yapay zeka videosu yayınlandıysa silinmesini talep edebileceksiniz. Umarım bunu da kötüye kullananlar olmaz veya kötüye kullananları YouTube cezalandırır ama gerçi YouTube'un telif hakkı atma sistemini kötüye kullanan milyonlarca insan var ve YouTube hiçbirisini cezalandırmıyor dolayısıyla pek umutlu değilim.
İspanya, çocukların pornografik içerik tüketmesini engellemek için kimlik doğrulamalı sistem getirdi. Siteye erişmek için devletin yayınladığı uygulamayla kimliğini doğrulaman gerekiyor. Bir de üstüne sana 30 kredi veriyor. Her video izlediğinde bir kredi düşüyor ve kredin bittiğinde bir daha kredi talep etmen gerekiyor. İlginç bir sistem olmuş. Herhalde bu kredi sistemini de çocukların gizliden ailesinin kimliğiyle erişmesin diye yapmışlar. Çözüm olur mu? Zannetmiyorum çünkü bu sistemi uygulamayan bir sürü korsan site falan olacaktır. Bence pornografik içerik bağımlılığının çözümü yasaklamadan ziyade iyi bir eğitimden geçiyor.
Apple, Rusya'dan gelen isteği dinleyerek Rus kullanıcıları için ProtonVPN, Red Shield VPN, NordVPN ve Le VPN servislerini mağazadan kaldırdı. Rusya'daki Apple kullanıcıları artık bu servislere erişemeyecek. Mesela bazı Apple fanları sürekli diyor ya dışarıdan uygulama yüklemek isteyen Android alsın diye, peki sevgili dostum ya sen bu durumda olsaydın? Ülkende bir anda diktatörler neyin yüklenip yüklenmeyeceğini kontrol etseydi ve mağaza dışında başka hiçbir yerden uygulama yükleyemeseydin? Sıkıntılı bir durum olduğunu umarım görebiliyorsunuzdur. Merkeziyetçi olmak birçok bakış açısından iyi bir şey değil.
Epic Games'in iddialarına göre Apple, Epic Games mağazasının açılışını oyalıyor. Uygulamayı açma isteğini Apple'a bildirdiklerinde her seferinde estetik sorunlarından veya metin yazılarından dolayı reddediyorlarmış. Ne bekliyordunuz ki? Apple bu mağaza ve üçüncü parti uygulama/ödeme sistemi olayına okkalı bir ceza yiyene kadar izin vermeyecek. Sonuna kadar oyalayacak.
🎥 Ne Üretiyorum?
Bu haftanın ilk videosunda Apple fanlarından gelen yorumlara cevap veriyorum.
İkinci videomuzdaysa şifre yöneticilerinin nasıl çalıştığını ve neden kullanmanız gerektiğini anlatıyorum.
Bu haftaki bültenimizin de sonuna geldik, haftaya görüşmek üzere!