Eylül 2025’te mühendislik sohbet odasında şu soru gündeme geldi: “Hangi kısmımız HTTP/2 istemcisine ErrCode=ENHANCE_YOUR_CALM göndermekten sorumlu?” İki iç mikroservis arasında iletişimi engelleyen bir hata meydana geldi ve ekip zamanında yanıt arıyordu.

Bu yazıda, HTTP/2 ile yapılan bilinen saldırılar ve bunların Cloudflare savunmalarını nasıl tetiklediği açıklanmakta, ayrıca Go’nun standart kütüphanesinde yapılan basit bir hatanın istemcilerin PING flood saldırıları göndermesine nasıl yol açabileceği ele alınmaktadır.

HTTP/2, meşru kullanımları olan birçok güçlü özellik sunar. Ancak, büyük güçlerin beraberinde sorumluluk ve kazara ya da kasıtlı olarak yanlış kullanım fırsatları gelir. Spesifikasyon, hizmet reddi için dikkate alınacak hususlar içerir. Uygulamalar, bu özelliklerin kullanımını izlemeli ve kullanım limitleri belirlemelidir.

HTTP/2 istemci davranışı kötü niyetli olabileceği tespit edildiğinde, bağlantı, GOAWAY çerçevesi ile kapatılır ve ENHANCE_YOUR_CALM hata kodu eklenir.

Tanınmış bir saldırı örneği olan CVE-2019-9512 (PING flood), sürekli ping atılması durumunda sunucuda bir yanıt kuyruklanması yaratabilmektedir. PING çerçevesi, karşı tarafın yanıt vermek zorunda kalmasına yol açarak, ayrıca efor yaratmaktadır.

Belirli bir sıklıkla Cloudflare kenarına PING atan bir istemci, CVE-2019-9512 azaltma önlemlerini tetikleyecektir. Ayrıca, Cloudflare 2020 yılında gRPC desteğini başlattığında bazı gRPC istemcileri PING gönderme aşamasında uyumsuzluk sorunları yaşamış ve bu durumları düzeltmiştir.

Client’ın davranışının nedenini bulmak üzere bir analiz yapıldı. Sık sık PING atan bir uzantı ile sistem, otomatik kapanma durumuna geçmektedir. Sonuçta, istemcinin, io.Copy(io.Discard, resp.Body) ile yanıt gövdesini okumak yerine, direkt kapatmasını tercih etmesi sorun yaratmıştır. Çözüm olarak istemci güncellendi ve ENHANCE_YOUR_CALM kapanmalarının ortadan kalktığı doğrulandı.

ENHANCE_YOUR_CALM ile Karşılaşanlar İçin Öneriler

HTTP/2’nin birçok özelliği ve bazı uygulamaların bu özelliklerin yanlış kullanımına karşı kendilerini korumak için sertleştirdiği göz önüne alındığında, ENHANCE_YOUR_CALM hata kodu, kapanmalar için önerilmektedir. Eğer HTTP/2 istemciniz ENHANCE_YOUR_CALM ile kapanıyorsa, bağlantı desenlerini analiz etmek iyi bir fikir olacaktır.

Bu yazı, iç hizmetlerimizde kendi ürünlerimizi denemenin avantajlarını hatırlatmıştır. Karşılaşılan sorunlardan elde edilen dersler, benzer kurulumlara sahip müşterilere de yarar sağlayacaktır.

Kaynak: Cloudflare Blog

“>Kaynak

The post HTTP/2 PING flood hatalarını çözmenin yolları appeared first on Yapay Zekâ, Mobil, Teknoloji ve Donanım Haberleri | TeknoDahi.

Olayın çerçevesi ve olası etkiler

İlk raporlara göre saldırı, Shaquille O’Neal’ın birlikte çalıştığı otomobil modifikasyon sağlayıcısını hedef aldı. Şirketin adli inceleme yürütüp yürütmediği, hangi sistemlerin etkilendiği ya da veri sızıntısı olup olmadığı resmi olarak doğrulanmadı. Ancak bu tür işletmelerin barındırdığı verilerin niteliği, olası bir ihlalin kapsamını önemli kılıyor: projelere ait tasarım dosyaları, araç içi ergonomi için yapılan ölçümler, müşteri listeleri ve iş akışlarına dair belgeler, suçlular için değerli olabilir.

Bu tip saldırılar, lüks ve kişiselleştirme odaklı tedarik zincirlerinde artan bir trendi yansıtıyor. Büyük markalara doğrudan nüfuz etmekten daha kolay görülen hedefler; yani parça tedarikçileri, atölyeler ve entegratörler, saldırganların tercih ettiği ara kapılar haline geldi. Böyle bir ihlalin sonuçları yalnızca itibar kaybı ve hizmet kesintisiyle sınırlı kalmayabilir; yüksek profilli müşterilerin mahremiyet ve fiziki güvenliği de etkilenebilir.

Shaquille O’Neal araç modifikasyonu ve tedarik zinciri riski

Ünlü müşterilere hizmet veren butik modifikasyon şirketleri, çoğu zaman sınırlı BT kadroları ve dağınık tedarik ilişkileriyle çalışır. Bu da yama yönetimi, erişim kontrolleri ve tedarikçi güvenliği gibi temel kontrollerde boşluklara neden olabilir. Söz konusu boşluklar, sosyal mühendislikten kimlik bilgisi hırsızlığına ve fidye yazılımlarına uzanan geniş bir saldırı yüzeyi yaratır.

Bu bağlamda, atölyelerin sistem envanteri çıkarması, ağ segmentasyonu uygulaması, çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılması ve uç nokta algılama/yanıt (EDR) gibi çözümlerden faydalanması kritik. Ayrıca, düzenli yedekleme, yedeklerin çevrimdışı saklanması ve tedarikçi sözleşmelerine asgari güvenlik şartlarının eklenmesi, muhtemel bir ihlalin etkisini sınırlayabilir.

Diğer öne çıkan güvenlik başlıkları

NSO Group ile ilgili bir davada verilen ara karar, şirketin hukuki cephede ek baskılarla karşı karşıya olduğunu gösteriyor. Mahkemenin yaklaşımı; delil sunumu, yaptırım ve usul süreçlerinde daha sıkı bir çerçevenin benimsendiğine işaret ederek, gözetim yazılımları etrafındaki hukuki tartışmaları yeniden alevlendirdi.

Mozilla cephesinde ise geliştiriciler için veri kullanımı şeffaflık kuralları sıkılaştırıldı. Eklenti ve hizmet sahiplerinden, hangi verileri neden topladıklarını ve bu verilerin nasıl işlendiğini son kullanıcılara açık ve anlaşılır biçimde beyan etmeleri talep ediliyor. Bu adım, kullanıcı güvenini güçlendirirken geliştiriciler açısından da uyumluluk yükümlülüklerini netleştiriyor. Beklenti, mağaza inceleme süreçlerinde bu beyanların doğrulanması ve ihlallerin yaptırıma tabi tutulması yönünde.

Öte yandan, ‘TARmageddon’ etiketiyle anılan arşiv/çıkarma araçlarındaki güvenlik açıkları gündemde kalmaya devam ediyor. Bu tartışma, bellek güvenliğine odaklanan Rust gibi dillerle yazılmış alternatiflerin tedarik zincirinde daha geniş benimsenmesinin önemini öne çıkarıyor. Geleneksel araç setlerinin yaygın kullanımı nedeniyle risk yüzeyi geniş; bu yüzden güvenli varsayılanlar ve modernleştirilmiş bağımlılıklar, kurumlar için öncelik olmalı.

Pratik öneriler: ünlü müşteri portföyü olan atölyeler için

Ünlü veya yüksek net değerli müşteri portföyüne hizmet veren işletmelerin, veri asgariyetini benimseyerek gereksiz kişisel bilgileri toplamaktan kaçınması, projeleri takma adlarla etiketlemesi ve saha ziyaretlerinde protokol belirlemesi önerilir. Tedarik zinciri tarafında üçüncü taraf risk değerlendirmeleri, sigorta şartları ve olay müdahale sözleşmeleri proaktif olarak güncellenmeli.

Benzer şekilde, ünlü müşteriler ve temsilcileri; paylaşım kanallarını sınırlamak, proje belgelerini yalnızca şifreli ve belirlenmiş platformlarda iletmek, konum ve zamanlama bilgilerini asgari düzeyde ifşa etmek gibi operasyonel güvenlik adımlarını uygulamalı. Bu yaklaşım, Shaquille O’Neal araç modifikasyonu gibi kişiselleştirilmiş projelerde veri akışını kontrol altında tutmaya yardımcı olur.

Olayla ilgili ayrıntılar netleştikçe ve resmi açıklamalar geldikçe, tedarik zincirindeki güvenlik gereksinimlerinin sözleşmesel düzeyde daha belirginleşmesi bekleniyor. Bu da küçük atölyeler için bir maliyet kalemi yaratsa da, uzun vadede iş sürekliliği ve müşteri güveni açısından zorunlu bir yatırım niteliği taşıyor.

Kaynak: The Register

The post Shaquille O’Neal araç modifikasyonu hedef alındı appeared first on Yapay Zekâ, Mobil, Teknoloji ve Donanım Haberleri | TeknoDahi.