Dijital kıyamet mi geliyor? Siber güvenlik araştırmacıları, 2030'lu yıllarda dünya çapında milyonlarca bilgisayar ve cihazı etkilemesi beklenen “Problem 2036” ve “Problem 2038” olarak bilinen yazılım hatalarının bugün bile hackerlar tarafından istismar edilebileceği konusunda uyardı.
Bilgisayar sistemlerinde zaman, 1 Ocak 1970 tarihinden itibaren genellikle saniye cinsinden tutulur. Bu süreyi hesaplamak için kullanılan 32 bitlik tam sayı, 19 Ocak 2038'de ulaşabileceği en son değer olan 2.147.483.647'ye çıkacaktır.
Limit aşıldığında sistem zamanı 13 Aralık 1901 tarihine sıfırlayacaktır. Bu durum özellikle endüstriyel kontrol sistemleri ve kritik altyapılarda veri bütünlüğünün bozulması, sistemin kapanması ve hatta fiziksel kazalar gibi ciddi sorunlar yaratabilmektedir.
Aynı şekilde Ağ Zaman Protokolü kullanan eski sistemlerde de 7 Şubat 2036 tarihinde “2036 yılı sorunu” yaşanacaktır.
HACKER'LAR BUGÜN BİLE SALDIRIYOR
Ancak araştırmacılar Trey Darley ve Pedro Umbelino'ya göre bilgisayar korsanlarının bu hatalardan yararlanmak için 2036 veya 2038'i beklemesine gerek yok.
İki araştırmacı, bilgisayar korsanlarının GPS sinyallerini taklit ederek, belge dosya formatlarını değiştirerek veya ağ protokollerindeki zaman damgalarını bozarak bugün ile 2038 yılları arasında sistemleri çökertmelerinin mümkün olduğuna dikkat çekiyor.
Yakın zamanda BruCON Güvenlik Konferansı'nda sunum yapan iki kişiden biri olan Umbelino şu uyarıda bulundu: “Bugün savunmasız durumdayız. Minimum teknik bilgiye sahip bir bilgisayar korsanı bile bu zayıflıktan yararlanarak altyapıya saldırabilir.”
İŞTE TEHLİKE ALTINDA OLAN CİHAZLAR
Araştırmacıya göre sunucular, endüstriyel sistemler, akıllı televizyonlar, yazıcılar, alarm sistemleri ve akıllı saatler başta olmak üzere interneti kullanan binlerce cihaz risk altında.
Daha da önemlisi, enerji santralleri, nükleer denizaltılar, uydular, raylı sistemler ve su hizmetleri gibi milyonlarca gömülü sistem bu güvenlik açığından etkilenebilir.
YAZILIM HATASI MI? BU BİR SİBER GÜVENLİK AÇIĞI MI?
Umbelino'ya göre 2038 sorununun normal bir yazılım hatası olarak değil, siber güvenlik açığı olarak ele alınması gerekiyor. Bu yaklaşımla yazılım hatalarının, güvenlik açıklarının biriktiği uluslararası veri tabanı olan CVE sistemine kaydedilip önceliklendirilebileceği iddia ediliyor.
Bu konuda ilk adımı ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın attığı iddia ediliyor. Dover Fueling Solutions'ın ProGauge yakıt ölçüm sistemlerinde 2038 yılı sorununun neden olduğu bir güvenlik açığı keşfedildi. Bu güvenlik açığı, saldırganların sistem saatini manuel olarak değiştirerek saldırı başlatmasına olanak tanıdı.
Ancak bu güvenlik açığı kısa sürede giderildi.
2000 YILINDA OLDUĞUNDAN ÇOK DAHA KARMAŞIK
Araştırmacılar yaklaşmakta olan sorunu “2000 Yılı sorununun bin kat daha karmaşık versiyonu” olarak tanımlıyor. Küresel kod güncellemeleri sayesinde 2000 krizinin önüne geçildi.
Ancak bu sefer sorun sadece yazılımda değil; Araştırmacılar, birçok sistemin donanımını değiştirmeden sorunun çözülemeyeceğini söylüyor. Umbelino, 2038 yılına kadar 2000 yılına kıyasla bin kat daha fazla bağlantılı sistemin olacağını iddia ediyor.
Ancak yetkililerin elindeki bütçenin ve zamanın yeterli olmadığının altı çiziliyor. Hangi sistemlerin arızalanacağını bilmemek de durumu karmaşık hale getiriyor.
Araştırmacılar, devletlerin ve şirketlerin öncelikle en kritik sistemleri belirleyip yükseltmeleri, yükseltilemeyenler için ise acil eylem planları hazırlamaları gerektiğini söylüyor. (Kaynak: Nefes gazetesi)