SolarWinds Hakkında Yeni Açıklama
SolarWinds ihlaline ilişkin olarak müşterilerimize bir başka güncel açıklama sunmak istiyoruz. Bu noktada dün yayınladığımız mesajı yineliyoruz: bu ihlalde hiçbir rol oynamadık ve ne ihlale yol açmış olabilecek TeamCity’deki güvenlik açıklarına, ne de yürütülmekte olan herhangi bir soruşturmaya dair bilgimiz var.
TeamCity nedir ve neden haberlerde adı geçiyor?
TeamCity, bizim Sürekli Entegrasyon ve Dağıtım Aracımızdır. Yazılımları geliştirmek, test etmek ve isteğe bağlı olarak dağıtımlarını yapmak için kullanılır. Şu anda genel anlamda yalnızca kullanıcı tarafından barındırılan bağımsız bir uygulama olarak mevcuttur, yani son kullanıcı, her türlü güvenlik ve erişim ayarları dahil olmak üzere sistemi kurmak, yapılandırmak ve bakımını yapmaktan sorumludur.
Mevcut kamuya açık bilgilere (ne SolarWinds ne de herhangi bir devlet kurumu ihlale dair herhangi bir ayrıntıyla bize ulaşmadığından bugüne kadar tüm bildiklerimiz bunlar) dayanarak, SolarWinds’e yapılan saldırının geliştirme süreçlerini hedef aldığı görülüyor (medyanın tedarik zinciri saldırısı olarak adlandırdığı şey). SolarWinds, yazılım geliştirme işlemi sırasında diğer araçların yanı sıra TeamCity’yi kullanıyor. Ancak, bu noktada, SolarWinds sözcülerinin açıklamalarında da belirtildiği üzere, TeamCity’nin bu hususta herhangi bir rol oynadığına dair hiçbir kanıt yoktur.
Bir SolarWinds sözcüsü, “Birçok şirket gibi SolarWinds de yazılım geliştirmeye yardımcı olmak için TeamCity isimli bir JetBrains ürünü kullanıyor. Hala devam etmekte olan soruşturmamızın bir parçası olarak tüm şirket içi ve şirket dışı araçlarımızı inceliyoruz” diye belirtti. “Şirket, TeamCity ürününün güvenlik açığı olayına karıştığına dair herhangi bir kanıta rastlamamıştır” diye de vurguladı.
The Wall Street Journal‘da ayrıntılara ulaşabilirsiniz.
TeamCity’nin, SolarWinds tarafından yazılım geliştirme sürecinde kullanılan araçlardan biri olmasının, haberlerde yer almasına neden olduğunu düşünüyoruz.
JetBrains veya TeamCity’nin güvenlikleri tehlikeye mi düştü?
Şimdiye kadar TeamCity veya JetBrains’de böyle bir duruma neden olabilecek güvenlik sorunları hiçbir şekilde olmamıştır. Üstelik, yalnızca yazılımımız için düzenli olarak planlanmış denetimler yapmakla kalmıyor, aynı zamanda şimdi TeamCity için ayrı bir bağımsız güvenlik denetimi hazırlıyoruz. Üründe söz konusu ihlale yol açmış olabilecek herhangi bir güvenlik açığı bulursak, bu konuda tamamen şeffaf olacağız ve müşterilerimizi Güvenlik ve Gizlilik politikalarımız kapsamında bilgilendireceğiz.
Ayrıca belirtmemiz gerekir ki biz SolarWinds Orion veya söz konusu şirkete ait başka bir yazılımı kullanmıyoruz.
Bu durum IDE’lerinizi veya diğer araçları etkiliyor mu?
IDE’lerimiz bağımsız araçlardır ve onları geliştirmek için kendi TeamCity kurulumumuzu kullanmamız dışında aralarında hiçbir ilişki yoktur. Sunucularımızdan herhangi birinin veya bağımsız araçlarımızın kurcalandığını gösteren hiçbir kanıtımız yok ve TeamCity’de yaptığımız gibi, araçlarımız ve sistemlerimiz üzerinde düzenli güvenlik denetimleri yürütüyoruz.
JetBrains araçlarını kullanırken güvende miyim?
FBI tarafından yapılan soruşturmalara atıfta bulunanlar ve SolarWinds’in kendi açıklamaları dahil olmak üzere şimdiye kadar yayınlanan yazıların hiçbiri, TeamCity’nin geliştirme sürecine yetkisiz erişime izin verebilecek herhangi bir güvenlik açığı veya arka kapıya sahip olduğuna dair herhangi bir kanıt göstermedi.
Bu nedenle, araçlarımızdan herhangi birinin tehlikede olabileceğini düşündürecek hiçbir bilgiye veya kanıta sahip değiliz ve dolayısıyla araçlarımızı kullanmaya devam etme konusunda herhangi bir risk altında olduğunuza inanmıyoruz.
SolarWinds ile ilgili soruşturmanın mümkün olan en kısa sürede sonuçlandırılmasını ve araçlarımız ve şirketimiz hakkındaki yanlış beyanları ortadan kaldırmasını umuyoruz. Devlet kurumlarıyla ve güvenlik araştırmacılarıyla tam işbirliği yapacağımızı tekrarlamak isteriz.
20 yılı aşkın süredir, müşterilerimize karşı şeffaf, dürüst ve samimi olmak temel dayanaklarımızdan biri olmuştur ve hiçbir şey bizi itibarımıza zarar veren ve müşterilerimizde şüphe uyandıran asılsız iddialar görmekten daha fazla üzemez.
Desteğiniz için çok minnettarız ve sizi gelişmelerden haberdar etmeye devam edeceğiz.
Teşekkürler.
Maxim Shafirov
İcra Kurulu Başkanı