Ahmet A. Sabancı
Oca 15 2018

Bilgisayarlarda 2018 tehdidi: İşlemcilerdeki hayalet araba

2018 yılı, bilgisayar dünyası için büyük bir şokla başladı. Yılın ilk günlerinde ortaya çıkan Meltdown ve Spectre isimli iki büyük donanım açığı, bilgisayar kullanan herkesin paniklemesine ve kara kara ne yapacağını düşünmesine neden oldu. Çünkü bu sorunların olduğu yer ve sorunun kendisi, yakın zamanda duyduklarımıza pek benzemiyordu.

Bilgisayarların neredeyse hayatımızın her alanına girmesiyle, onlardaki sorunlar ve açıklar da normal haberlerin bir parçası hâline geldi. 

Geçtiğimiz birkaç yıl içerisinde birçoğumuz belirli yazılımlarda ya da sistemlerde büyük güvenlik sorunlarına sebep olabilen Heartbleed gibi güvenlik açıklarının ismini duyduk. 

Ancak Meltdown ve Spectre bunlara benzemiyor çünkü sorunlar herhangi bir yazılımda değil, bilgisayarın en önemli parçalarından birisi olan işlemci çiplerinde. Ve soruna sebep olan tasarım hatası, on yıllardır üretilen hemen her çipte mevcut.

Bu iki sorunun nereden kaynaklandığını, sorunu keşfeden ekibin hazırladığı website ve makalelerde detaylı bir şekilde okumanız mümkün. 

Ancak teknik anlamda yetkin değilseniz xkcd isimli webcomicin kullandığı basitleştirilmiş örneği biraz değiştirerek anlatabiliriz: Düşünün ki, arabanızla henüz ne tarafa döneceğinize karar vermediğiniz bir kavşağa geldiniz. 

Bu durumda her iki yöne de birer hayalet araba ilerlemeye başlıyor, ta ki siz karar verene kadar. 

Siz karar verince diğer yöne giden hayalet arabanın kaybolması gerekirken, o hayalet arabayı kullanarak başka şeyler de yapmak mümkün. Üstelik bu hayalet araba duvarları da delip geçebiliyor.

Buradaki hayalet arabalar, tasarım hatasında adı geçen spekülatif işlemler. Bilgisayarınızın işlemcisi, yapmak istediğiniz işleri daha hızlı yapabilmek için henüz sizin ne yapacağınızı bilmeden, potansiyel sonraki adımlar üzerine spekülasyon yapıyor ve ihtiyaç duyabileceği şeyleri (mesela, işletim sisteminizin çekirdek bölümlerinden birkaçını) işlemcinin önbelleğine taşıyor.

Siz karar verince de kullanmadıklarınızı bir kenarda bırakıyor. Hayalet arabanızın kullanılabilmesi de bu kenarda bırakılanların güvenliğinin yeterince sağlanmaması anlamına geliyor. 

Yani bir başka kötü amaçlı uygulama, önbellekte kalan bu parçaları kullanarak sizin ne yaptığınıza dair birçok bilgiye (bunlara, sisteminizin çekirdek parçaları ve parolalar gibi hassas veriler de dahil) erişebiliyor. 

Bu hayalet arabanın duvarları yıkabilmesi ise şu demek: Cloud gibi ya da bilgisayarlardaki sanal makineler gibi sistemlerde birinden diğerine bu açık ile sıçramak mümkün. 

Yani eğer kullandığınız cloud servisi güvenli değilse, sizinle aynı sunucuyu paylaşan birisinden sizin sunucunuza da erişilebilir. Meltdown (Erime) adı da buradan; sorunun sistemler arası duvarları eritebilme gücünden geliyor.

Meltdown ve Spectre, bu ana sorunun iki farklı versiyonu. İlki, temelde şu anda kullanılan tüm Intel işlemcileri etkiliyorken; Spectre dünyada kullanılan tüm işlemcileri etkileme potansiyeline sahip. 

Meltdown potansiyel bir saldırı yöntemi olarak kullanılması daha kolay olan ama buna karşılık önlem alınması da görece kolay bir sorun iken Spectre’yi bir saldırı yöntemi olarak kullanmak daha zor ama ona karşı önlem almak da aynı derecede zor. 

Üstelik bunu kullanan potansiyel bir saldırının nasıl tespit edileceği de henüz bilinmiyor.

macOS, iOS işletim sistemleri açıklar duyurulmadan önce, Linux ve Android işletim sistemleri ile Google Chrome ve Mozilla Firefox tarayıcıları ilk günlerde, özellikle Meltdown için kullanıcıları koruyacak güvenlik yamalarını yayınlayıp gönderdi. 

MS Windows’un yaması ise 9 Ocak’ta yayınlanacak. Bu gecikmenin sebebi ise, Spectre ve Meltdown normalde Ocak ayının ortasında duyurulacaktı ama bir sızıntı olunca erkene alındı. 

Ayrıca ilerleyen günlerde gelecek yeni güncellemeler ile tüm şirketler de ek güvenlik önlemleri de alacaklarını açıkladı.

Bu durumda normal bir kullanıcının yapması gereken, güvenliği için aslında her zaman yapması gereken şeyler: Tüm güncellemeleri kurmak ve özellikle internette dolanırken daha dikkatli davranmak.

Bu saldırının hemen her türlü işlemi kullanma potansiyeli olduğundan, reklam engelleyici eklentileri kullanmak da ek bir güvenlik önemli olarak faydalı olacaktır.

Ancak bu sorunun iki ciddi sonucu var. İlki, sorunun ortadan kaldırılması için alınan önlemlerin işlemci performansını da etkileyecek olması. Kimi durumlarda yüzde 30’lara kadar performans düşüşü yaşanabiliyor. 

Her ne kadar bu durum normal kullanıcıları ya da daha grafik temelli işler yapanları (mesela bilgisayar oyuncularını, video düzenleme ya da dijital tasarım, illüstrasyon yapanları) farkedilir derecede etkilemeyecek olsa da, sunucular ve veritabanları ile çalışanlar ile cloud hizmeti verenler için bu ciddi bir sorun ve muhtemelen daha fazla masraf demek.

İkincisi ise, bu sorunun direkt olarak işlemcilerin mimarisinden kaynaklanıyor olması ve bu sorunların olduğu tüm işlemciler kullanımdan kalkmadan, özellikle Spectre’den tam olarak kurtulmamızın imkansız olması. 

Bunun gerçekleşmesinin ise tahminen on yıldan fazla bir süre alacağı düşünülüyor. Sorunun uzun bir süre etrafımızda dolanacak olması da, onun Spectre (Hayalet) adını almasına sebep oldu.

Ancak Spectre ve Meltdown’ın tekrar göz önüne serdiği daha da kökten bir sorun var. Bilgisayarlar söz konusu olduğunda, hem yazılım hem de donanım alanında, geliştirme sürecinde daima performans ve verim ön planda tutuluyor ve güvenlik genellikle sonraki aşamalara bırakılıyor. 

Teknolojinin aşırı hızlı gelişmesi ve özellikle her yıl daha hızlısının, daha yüksek performans gösterenin piyasaya sürülmesinin bir gelenek hâline gelmesi, bu teknolojilerin geliştirilme süreçlerinin daha da dikkatsiz bir şekilde ilerlemesine neden oldu. 

Bunun sonucunda da her yıl en az birkaç tane çok ciddi güvenlik açığı ile karşı karşıya kalır olduk.

Yazılım ve donanım geliştirici camianın bu yaşadıklarımızdan bir ders çıkartması gerekiyor. Her ne kadar daha yüksek performans, kullanım açısından faydalı olsa da, güvenlik ikinci üçüncü plana atılamayacak kadar önemli bir konu. 

Özellikle de yazının başında bahsettiğimiz gibi bilgisayarların hayatımızın bir parçası haline geldiğini düşündüğümüzde. Artık bilgisayarlar yalnızca sunuculardan ve masamızın üstündeki aletlerden ibaret değil; evimizin, şehirlerimizin, hastanelerimizin birer parçası; her gün cebimizde taşıdığımız; bankacılık gibi çok hassas işlemlerin yapıldığı aletler. 

Eğer bunların güvenliği konusunda duyarsız ve umursamaz davranmaya devam edilirse, çok daha ciddi sorunlarla karşı karşıya kalmamız kaçınılmaz. 

Artık bu alanlarda çalışanların, güvenlik konusunu ciddiye almamak için bahaneler uydurmayı bırakması ve güvenlik konusunu, geliştirme sürecinin öncelikli bir parçası hâline getirmesi lazım.

Umarım Spectre ve Meltdown, tüm camia için bir kalk borusu etkisi yaratır ve 2018 yılı bu konuda ciddi adımların atılmaya başlandığı bir yıl olur.