ABD’nin önde gelen ve bünyesinde bir partikül hızlandırıcı da bulunan fizik laboratuvarı Fermilab’da proje bilgilerinin de sızdırılabildiği güvenlik açıkları bulundu.
Fizik laboratuvarları hemen her yerde var. Ancak konu, bir partikül hızlandırısı da olan laboratuvalar denildiğinde akla ilk olarak CERN ve bu haberin konusu olan Fermilab geliyor. ABD’nin ilk ve en büyük yüksek enerji fiziği laboratuvarı da olan Fermilab, siber güvenlik gündemine ise detaylı proje bilgilerine dahi ulaşılabilen güvenlik açıklarıyla girdi.
Inforisk Today’in, siber güvenlik araştırma grubu Sakura Samarai’den Robert Willis, John Jackson ve Jackson Henry tarafından yayınlanan bilgilere dayanarak verdiği habere göre araştırmacılar kişisel bilgiler, proje ayrıntıları, kimlik bilgileri gibi çok sayıda bilgiye rahatlıkla ulaşabildi.
Elde edilen bulgular hakkında bir yazı hazırlayan Robert Willis, genellikle hükümet sitelerinde zayıf güvenlik kontrolleri ile karşılaştıklarını, ancak Fermilab gibi hassas çalışmalar yapan bir laboratuvarın siber güvenliğe daha fazla önem vermesini beklediklerini ifade etti.
6 bine yakın belge açıktaydı
Willis, yaptıkları çalışmada laboratuvarın bilinçsiz bir şekilde çok sayıda belgeyi rahatça ulaşılabilir olarak sunduğunu belirtti. Toplamda 5795 belgeye ulaştıklarını kaydeden Willis, sunucunun kimlik bilgilerinden birini bulup doğruladıklarında durduklarını, çünkü kısa sürede yeterli kanıta ulaşabildiklerini kaydetti.
Yapılan çalışma, güvenlik açıklarının tek bir noktada olmadığını da gösterdi. Sorun geribildirimleri için kullanılan bir ticket sistemine ulaşılması proje isimleri, konfigürasyon verileri ve iletişim bilgilerini ortaya çıkardı. Willis, sistemde ticket atanmış bir kişiye tıklayarak, e-posta adreslerine ve unvanlarını öğrenebildiklerini ifade etti. Willis ayrıca aynı ticket sistemi üzerinde çoğu hassas bilgiler içeren dosya ekleri bulunduğuna da dikkat çekti. Bulunan bir başka açık ise herkesin anonim olarak oturum açmasına izin veren bir FTP sunucusuydu.
Robert Willis, hedefin kritik bilgiler işleyen bir kurum olmasından da hareketle daha ileri gitmediklerini esprili bir dille açıklamayı da ihmal etmedi:
“Hedefin Fermilab olduğunu bildiğimiz için yanlış bir şeye dokunarak kazara bir kara delik oluşturmak istemedik…”
Bulunan tüm açıkların Fermilab yönetimiyle paylaşıldığını ve kapatıldığını da ekleyelim.
