Etiket arşivi: beyaz şapkalı hacker

Beyaz Şapkalı Hacker Lopez, bir milyon dolar kazandı

21 Mart 2019 Ergün Varlık Yorum yapın

Arjantinli beyaz şapkalı hacker Santiago Lopez, internetteki güvenlik açıklarını bularak bir milyon dolar kazanan ilk kişi oldu. Lopez bu geliri, dünyanın önde gelen ödül avcılığı (bug bounty) platformu HackerOne üzerinden kazandı.

Buenos Aires’te yaşayan 19 yaşındaki Santiago Lopez, 2015’da dünyanın önde gelen ödül avcılığı platformu HackerOne’a katılmış ve 2016’da burada elde ettiği ilk ödülden 50 dolar kazanmıştı. Güçlü şekilde kendini geliştiren Lopez, şimdi HackerOne’da bir milyon dolardan fazla ödül kazanan ilk kişi oldu.

Küresel bilgi güvenliği kuruluşu ESET’e göre, Arjantinli gencin hikayesi, artık kod üzerinde güvenlik açıkları aramanın kârlı bir yol olduğuna işaret ediyor. Santiago Lopez, “Çalışmalarımın tanındığını ve onlara değer verildiğini görmek benim için inanılmaz derecede gurur verici. Bu başarı yalnızca maddi anlamda değil, kuruluşların ve insanların bilgilerinin eskisinden daha güvende olduğunu temsil etmesi açısından da inanılmaz bir şey” diye konuştu.

Takma İsmi: Try to hack

Tamamen kendi kendini eğittiğini dile getiren genç, HackerOne’a katıldıktan sonra ‘try_to_hack’ takma adını almış ve sitelerarası sahteciliğe (Cross-Site Request Forgery) neden olabilecek bir yazılım açığını bularak 50 dolarlık ilk para ödülünü almıştı.

19 yaşındaki “beyaz şapkalı hacker” Santiago Lopez, bugüne kadar Verizon, Twitter ve WordPress gibi firmaların sağladığı hizmetlerdeki 1,670’ten fazla kod açığını ortaya çıkardı. Yaptığı iş ilk başta yalnızca okul sonrası bir uğraş iken, zamanla bir gencin günde 6-7 saatini alan ve Buenos Aires’teki sıradan bir yazılım mühendisinden çok daha fazla para kazandıran bir iş haline geldi.

https://www.youtube.com/watch?v=J4ElhxkLUk8

“Niceliğe odaklanıyorum”

Lopez, “Güvenlik açıkları (bug) ararken beni en çok ilgilendiren şey, kısa süre içerisinde olabildiğince çok güvenlik açığı bulmak ve bunlardan iyi ödüller kazanmak. Niteliğin nicelikten önemli görüldüğünü biliyorum, fakat beni ilgilendiren şey, bulduğum güvenlik açığı sayısı” bilgisini paylaştı. Lopez, bu önemli kilometre taşına ulaştıktan sonra, sektörde iyi tanınan Mark Litchfield’ın milyon dolarlık ödül avcılığı ekibine dahil oldu. Litchfield, 2016’da toplam 500 bin dolar ödül kazanarak Lopez’e kıyasla daha erken öne çıkmıştı.

Çok cömert bir yıl

HackerOne, Lopez’in becerilerini açıklamasının yanı sıra 2019 Hacker Raporu’nu da yayınladı. Şirketler ve beyaz şapkalı hackerlar arasında bir aracı görevi gören platform, beyaz şapkalı hackerların sadece 2018’de 19 milyon doların üzerinde ödül kazandığını ve bunun da önceki beş yılda HackerOne üyeleri tarafından kazanılan toplam 24 milyon dolara neredeyse eşdeğer olduğunu belirtiyor.

HackerOne

Gerçekten de, giderek daha fazla insan bu topluluğa katılıyor. HackerOne üyelerinin sayısı 300 bine ulaştı ve bu, bir yıl önceki sayının neredeyse iki katı. Yalnızca ABD ve Hindistan’daki ödül avcıları, üyelerin neredeyse üçte birini oluşturuyor. Her 10 HackerOne üyesinden dokuzu 35 yaşından küçük ve her iki kişiden biri 18-24 yaş aralığında. Tıpkı Lopez gibi çoğu (%81) kendi kendini eğitmişken, sadece yüzde 6’sı hack konusunda resmi bir öğrenim veya sertifika programı tamamlamış.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

haber

Beyaz şapkalı hackerdan, Nest kullanıcısına “testi kırılmadan” tokat!

2 Ocak 2019 Ergün Varlık Yorum yapın

Beyaz şapkalı hacker Hank Fordham, Arizona eyaletinde bir Nest kullanıcısına “testi kırılmadan” önce yaptığı “yardım” ile şaşkınlık yarattı.

Kasım ayının başında yaşanan olayda, Calgary-Alberta’daki evinden Arizonalı bir adamın Nest güvenlik kamerasına giriş yaptı ve evin sahibine kendi sesi ile cihazının hiç de güvenilir olmadığı konusunda uyarıda bulundu.

Bu, Fordham’ın bu şekilde yaptığı ilk eylem de değil.

Geçtiğimiz yıl Fordham kendisinin ve beyaz şapkalı hacker kolektifi olan Anonymous Calgary Hivemind grubundaki meslektaşları ile 5 ila 10 arasında akıllı ev güvenlik kamerası hesabını hackleyerek hattın diğer ucundaki kişilerle iletişime geçtiklerini anlatıyor.

Fordham, motherboard.vice.com’a verdiği röportajda medyada geniş şekilde yer bulan Arizona olayı ile amacının kimseyi korkutmak olmadığını, sadece kullanıcıları hesaplarının düşündükleri kadar güvenli olmadığı konusunda uyarmak istediğini ifade ediyor. Fordham, şöyle devam ediyor: “Amaç, yeterli etkileşimden sonra Nest’ten zafiyetin azaltılması şeklinde bir tür yanıt almaya teşvik etmekti.”

motherboard.vice.com, Fordham ile Anonymous Calgary e-postası üzerinden iletişime geçmiş. Maile cevap veren kişi, talebi ilgili kişiye ulaştıracaklarını yazmış. Kısa bir süre sonra da motherboard.vice.com’dan Kaleigh Rogers’a hepsi Fordham’dan gelen bir mail, Twitter DM ve sesli mesaj ulaşmış.

Fordhham, ‘kimlik bilgileri doldurma’ olarak bilinen basit bir teknik kullanmak suretiyle sisteme erişim sağladığını belirtiyor. Bu ayın başında gerçekleşen Quora sızıntısı gibi geniş çaplı veri sızıntıları olduğunda, e-postalar ve bağlantılı şifrelerini de kapsayan çalınmış bilgilerin veri tabanı, internet üzerinde alınıp satılıyor. E-posta ve şifrelerin listesine kolayca erişilebiliyor; hatta karanlık ağa (dark web) girmek bile gerekmiyor.

Birden fazla hesaba giriş yapmak için aynı e-posta ve şifre kullanılırsa bir bilgisayar korsanının önceki bir ihlalde sızan kimlik bilgilerini girerek bu hesaplara kolayca erişmesi mümkün. Hangi kullanıcıların işe yaradığını bulmak için bir veri setindeki tüm kullanıcıların girişlerini otomatik olarak deneyecek bir yazılım bile var. Fordham, bunun bu siber saldırıyı kotarılması çok kolay bir hale getirdiğini söyledi.

Fordham, internette mevcut hale gelmeye başlayan bu araçlardan çok fazla olduğunu söylerken ekliyor: “Hatta şu sıralar Facebook’ta aynı bu yöntemle ele geçirdikleri Fortnite hesaplarını satan gençlerden oluşan Fortnite Cracker gruplarına rastlamak hiç de zor değil.”

TÜYLER ÜRPERTİCİ

Kasım ayının başında yaşanan Arizona olayı, Nest kullanıcısı emlakçı Andy Gregg tarafından kameraya çekildi. Gregg daha sonra, güvensiz internete bağlı cihazların riskleri hakkında farkındalığı artırmak için videoyu yerel bir haber kaynağı ile paylaştı. Videoda, sesi hoparlörden duyulan Fordham, Gregg’e kendisini uyarmak için mümkün olan en tüyler ürpertici yolla kendisi ile iletişime geçtiğini söyler.

Motherboard Fordham’ın Gregg’in kurduğu kameranın isminin yer aldığı ekran görüntüsü vasıtasıyla cihazı hackleyen kişi ile aynı kişi olduğunu doğrulayabildi.

ÇOK TUHAFTI

Gregg, Motherboard’a yaptığı açıklamada Nest marka kamerasını tamamen çıkardığını ve farklı bir parola ya da iki faktörlü kimlik doğrulama etkin olsa bile, kamerayı daha fazla kullanmayacağını, çünkü tüm bu yaşadıklarının kendisini çok rahatsız ettiğini söylüyor. Gregg şöyle devam ediyor: “Çok tuhaftı. Evimin soyulmuş, bütün eşyalarım ortalığa saçılmış gibi hissettim. Tam anlamıyla çıldırdım.”

Fordham, ise bu yaklaşımın ne kadar ürkütücü olduğunun farkında olduğunu söyleyerek ekliyor: “Ben ve diğer bilgisayar korsanı arkadaşlarım bunun insanlara ulaşmanın en iyi yolu olup olmadığı konusunda enine boyuna düşünüyoruz. Genellikle insanları uyarmak için genel olarak görmezden gelinen toplu e-postalar gönderirdik. Hivemind’deki diğer birkaç kullanıcıyla konuştuktan ve hiçbir şey yapılmadığını gördükten sonra, bir avuç kullanıcıyla iletişim kurmaya karar verdik.”

Nest’in kullanıcıları iki faktörlü kimlik doğrulamaya, şifrelerini değiştirmeye sevk etmek gibi bazı basit önlemler alması, Fordham’ın ikna olabileceği bir senaryo. Nest, bu yıl Mayıs ayında yaşanan sızıntıda şifreleri tespit edildiğinde kullanıcılara e-posta göndermişti. Gregg kendisine böyle bir e-posta gelmediğini belirtiyor.

Nest’in bir sözcüsü Motherboard’a gönderdiği e-postada şunları söyledi: “Nest, daha önce sızıntı sonucu başka web sitelerinde açığa çıkan ve yayınlanan müşteri şifrelerinin tekrar kullanıldığı tüm hesapları sıfırladı. Daha fazla şifre güvenliği için, müşterilerin bilinen tehlikeli listelerde görünen şifreleri kullanmalarını önlüyoruz. Daha önce olduğu gibi, şifrenizin güvenliği ihlal edilmiş olsa bile tüm müşterileri ek hesap güvenliği için iki faktörlü doğrulama kullanmaya teşvik ediyoruz. ”

Kendisi de bir Nest kullanıcısı olan Fordham, bir Nest birimi için iki faktörlü doğrulama kurmanın çok sezgisel bir durum olmadığını ifade ediyor. Fordham ayrıca kendisinin ve Calgary Anonymous Hivemind’deki hacker arkadaşlarının girdikleri hesapların sayısına bakılınca, bütün kullanıcıların söz konusu uyarı mesajını almadığının açık olduğunu belirtiyor.

Siber Güvenlik

‘Beyaz şapkalı hackerlar’ mühendislerden 3 kat fazla kazanıyor

19 Şubat 2018 Ergün Varlık Yorum yapın

‘Bug bounty hunter’ Türkçeye ödül avcısı olarak çevirebileceğimiz bir hacker terimi. Bu kişileri, teknoloji firmalarının sistemlerinin daha güvenli olmasını sağlamak adına düzenledikleri yarışmalara katılan ve sistemlerdeki açıkları siber saldırganlardan önce bulan ‘iyi niyetli hacker’ olarak tanımlamak mümkün.

Son yapılan bir araştırmaya göre ise bu ‘ödül avcıları’ ortalamanın epeyce üzerinde bir gelire sahipler. 195’ten fazla ülkede 1700 ödül avcısı arasında yapılan bir araştırmaya göre ‘iyi niyetli hacker’ ya da ‘beyaz şapkalı hacker’ olarak bilinen ödül avcılarının standart bir yazılım mühendisi maaşının 2,7 katı büyüklüğünde yıllık gelirleri bulunuyor.

Kaçırılmayacak etkinlik >> Siber Güvenlikte Başarılı Kariyer -Mentor Burak Sadıç

Araştırma, teknoloji şirketlerinin güvenlik açığını bulabilen kişilere binlerce dolar kazandıran HackerOne adlı şirket tarafından gerçekleştirildi. Şirketin kendi düzenlediği ödül avı yarışmasından elde edilen bilgilere dayandırdığı araştırmaya göre bazı yerlerde hackerler ile mühendislerin geliri arasındaki uçurum daha da derin. Örneğin Hindistan’da hackerlerin geliri mühendislerin gelirinin 16 katına çıkabiliyor. ABD’de ise ödül avcıları ortalamanın 2,4 katı gelire sahip.

HackerOne hesaplamayı yaparken PayScale’deki verileri baz almış. Buna göre Hindistan’da bir yazılım mühendisinin yıllık geliri 6 bin 418 dolar iken ABD’de rakam 81 bin 193 dolara kadar çıkıyor. HackerOne’ın İletişim Direktörü Lauren Koszarek, “Ödül avı yarışmaları sayesinde hackerler, interneti daha güvenilir kılmalarının karşılığında iyi paralar kazanma şansına sahip oluyorlar” diyor.

İlgili haber>> HackerOne Pentagon’u hackledi, 40 Milyon Dolarlık yatırımı kaptı

Araştırmaya göre HackerOne’ı kullanan hackerlerin yaklaşık yüzde 12’si ödül avı programlarından yıllık en az 20 bin dolar kazanıyor. Yaklaşık yüzde 3’ü 100 bin dolardan fazla kazanırken yüzde 1.1’lik kesimin ise 350 bin dolardan fazla gelire sahip.

Araştırmaya katılanların yüzde 37’si hackerlığı hobi olarak yaptıklarını söylerken yüzde 25’lik kesim geçimlerinin yarısını elde etmek için bu yola başvurduklarını ifade etmiş. Yüzde 13,7 ise yıllık gelirlerinin yüzde 90’ının ya da tamamını bu yolla elde ettiklerini söylemişler.

Araştırmada dikkat çeken bir başka konu da hackerlerin yüzde 58’inin güvenlik açığı bulma kabiliyetlerini kendi kendilerine geliştirdiklerini söylemesi. Üstelik bu kişilerin yarısı da üniversitelerin bilgisayar bölümlerinden mezunlar.

Ödül avı yarışmalarını düzenleyen tek şirket HackerOne değil. HackerOne büyük şirketler ile ‘beyaz şapkalı hackerler’ arasında aracılık yapıyor. Microsoft, Facebook, Google gibi dev şirketler kendi ödül avı yarışmalarını düzenliyor. Ancak Forbes Global araştırması kapsamında sıralanan dünyanın en büyük 2 bin halka açık şirketinden sadece yüzde 6’sının ödül avı yarışmaları var. Bu da her dört hackerden birinin güvenlik açığını bildirmeyi tercih etmediğini gösteriyor. Nitekim etiketlenen şirkete söz konusu açığı ihbar edebilecek herhangi bir iletişim kanalı bulunmuyor.

Koszarek ödül avı yarışmalarına başvuran şirket sayısının geçtiğimiz yıl iki katına çıktığını belirtiyor.

Siber Bülten abone listesine kaydolmak için formu doldurun

Siber Bülten