Türkiye’nin önde gelen siber güvenlik şirketlerinden Lostar, iki çalışanının Google ve Oracle sistemlerinde bulduğu önemli güvenlik açığı ile adından söz ettiriyor.
Teknoloji firmalarının siber suçlulardan bir adım önde olmak ve sistemlerinin daha güvenli olmasını sağlamak adına düzenledikleri ödül avcılığı programlarında buldukları açıklarla ‘oyunda biz de varız’ diyen Berk İmran ve Barış Sağdıç, zafiyet tespit ve ödül avcılığı süreçlerini Siber Bülten’e anlattı.
Ödül avcılığı (Bug Bounty) gelişen teknolojinin kurtarıcısı olarak siber güvenliğin sunduğu faydalı test yöntemlerinden biri. Ödül avcılığı kapsamında kurumlar sistemlerinde, web sitelerinde ya da yazılımlarındaki açıklıkları farklı bir göz aracılığıyla test ediyor ve rapor edilen zafiyet için ‘beyaz şapkalı hackerlara’ (white hackers) para ödüyor.
Büyük şirketlerin güvenlik ekiplerinin yazılımlarındaki açıklıkları bulmak için yeterli zaman ya da iş gücüne sahip olamamaları ödül avcılığını son 10 yılda oldukça arttırdı.
Program dahilinde güvenlik uzmanları binlerce dolar kazanırken, kurumlar ise hacklenme korkusunu en aza indirerek maddi ve manevi kayıpları önlüyorlar.
Lostar’da yaklaşık üç yıldır siber güvenlik danışmanı olarak çalışan Barış Sağdıç, ödül avcılığı programı kapsamında Google’da oldukça önemli bir zafiyet buldu.
Bu zafiyet ile birlikte ünlüler geçidi (Hall of Fame -HoF) listesine girmeye de hak kazandı.
İlgili güvenlik açığını 24 Temmuz tarihinde bulan ve aynı gün raporlayan Sağdıç, tespit ettiği açık için “Google ödül avcılığı tarihinde keşfedilen en önemli zafiyetler arasında” diyor. Bunun sebebi ise zafiyetin bir çok alt uygulamayı da etkilemiş olması.
Sık sık ödül avcılığı programlarına katılan Lostar’ın uygulama güvenlik danışmanının tek başarısı da bu değil.
Web uygulama güvenliği konusunda yüksek teknik bilgiye sahip olan kişilere verilen prestijli eWPTX (eLearnSecurity Penetration Tester eXtreme) sertifikasına Türkiye’de sahip olan tek kişi.
-‘Kullanıcı bilgileri ele geçirilebilirdi’
Sağdıç zafiyet araştırmasına Google’ın webstore yönetim sayfasında başlamış.
“Keşfettiğim zafiyet saklı türünde siteler arası betik çalıştırma zafiyetiydi (Stored Cross-site scripting, XSS). Zafiyet girdi kontrolü eksikliklerinden kaynaklanıyordu. Bulduğum açık Google’ın ödeme sistemindeki adres bilgilerindeydi,” diyor Sağdıç ve not ediyor:
“Google’ın bir çok yerinde ödeme sistemi entegre olduğundan neredeyse tüm alt uygulamaları bu zafiyetten etkileniyordu. Bu açık nedeniyle kullanıcı bilgileri ele geçirilebilirdi.”
Sağdıç keşfi sonrasında 4 Ağustos’ta Google’dan para ödülü almış, ve 10 Ağustos’ta ise bildirdiği açık giderilmiş.
Ödül avcılığı programlarının ivme kazanmasındaki en büyük itici güçlerden biri Google gibi büyük bir şirketin verdiği ödüller. Şirket, ilk ödül avcılığı programını başlattığı 2010 yılından bu yana 9 milyon doların üzerinde ödül dağıttı.
Bugüne kadar Google tarafından verilmiş en büyük ücret ise 100.000 dolar.
-Oracle açığıyla Hall of Fame listesinde
Lostar’ın ödül avcılarından bir diğeri ise Oracle’da bulduğu önemli açıkla adını Ekim ayında yayınlanacak Hall of Fame’e yazdıracak olan Berk İmran.
Berk İmran’ın bulduğu açık ile ilgili blog yazısına buraya tıklayarak ulaşabilirsiniz
Ödül avcılığını, siber güvenlik alanında kariyer yapmak isteyen veya kendini teknik anlamda geliştirmek isteyen herkes için önemli fırsatlardan biri olarak gören İmran, henüz 21 yaşında.
İmran ayrıca, Lostar’ın Sakarya Üniversitesi iş birliğiyle geçtiğimiz Temmuz ayında düzenlediği Siber Güvenlik Yaz Kampı sonrasında Siber Güvenlik Departmanı kadrosuna kattığı altı kişiden biri.
Genç yaşına rağmen “ödül avcılığına başlayalı yıllar oldu” diyen İmran, Oracle dışında Sony, Yandex, eBay gibi birçok kurumda zafiyet bulmuş.
Oracle’da “stored xss” ve “ssrf” türlerinde iki açık keşfettiğini aktaran araştırmacı, açık bulma sürecini Siber Bülten’e şöyle tanımlıyor:
“10 Temmuz’da aramaya başladım, beş dakika sonra buldum. Beş gün boyunca bulduğum zafiyetle en kritik nokta neresi, nereye kadar ilerleyebiliyorum diye denedim ve 15 Temmuz’da zafiyeti rapor ettim. 18 Temmuz’da geri dönüş aldım, 1 Ağustos’ta ise zafiyet giderilmişti. Ekim ayında yayınlanacak olan Hall of Fame listesinde de benden bahsedecekler.”
Oracle’da bulduğu zafiyetin kritik seviyede olduğunu ifade eden İmran, burada amacının sadece Hall of Fame listesine girmek olduğunu söyledi.
-‘Amaç Türkiye’yi siber güvenlik alanında ileriye taşımak’
Türkiye’de ‘hackerone.com’ ya da ‘bugcrowd.com’ gibi ödül avcılarının işini kolaylaştıracak sitelerin bulunmadığını söyleyen İmran’a göre, Türk firmaları ve devlet ödül avcılığı kapsamında daha fazla adım atmalı.
“Facebook, Google ve hatta Pentagon bile bug bounty başlatırken Türkiye’de hiçbir kurum bu alanda adım atmıyor.”
İlgili haber >> 18 yaşındaki hacker Pentagon’u hackledi
Geçtiğimiz yıl internete sızan seçmen bilgilerini hatırlatan İmran, bu durumun ödül avcılığı yoluyla çözülebileceğini aktardı.
“Ülkede bug bounty kapsamı olsaydı bu bilgiler internete çok daha zor sızardı ve bunların hiçbiri yaşanmazdı. Böyle bir girişimde Türkiye’de kimsenin kar amacı güdeceğini düşünmüyorum. Sadece teşekkür edilse bile yeterli olacaktır.”
Bu alanda bazı atılımlarda bulunan İmran, üniversite öğrencilerini kapsayan bir siber güvenlik topluluğu ‘canyoupwn.me’ üyesi olduğundan bahsediyor.
“Kar amacı gütmeyen bir grup. Blog yazıları yazıyor, siber güvenlik çalışmaları yapıyoruz. Zafiyet nedir, nasıl oluşur, nasıl bulursunuz ve düzeltirsiniz gibi bir çok konuda bilgi veriyoruz.” diyor İmran.
Canyoupwn.me’de nereden başlayacağını az çok bilen belirli bir noktaya gelmiş ama bir tık daha üst seviyeye geçmek isteyenler için ise zafiyet amacı güdümlü makineler var.
“İlk makinemiz Kevgir’di. Dönemin tüm güncel zafiyetlerini Kevgir’e ekledik, güzel bir senaryo yaptık. Bu alanla ilgilenenler, makineyi indirdiler ve zafiyet bulmaya çalıştılar.”
İmran’a göre bu sistemin güzel tarafı hiçbir siteye zarar vermeden yasal bir şekilde kişilere kendini deneme fırsatı vermesi.
Siber Bülten abone listesine kaydolmak için formu doldurun