Etiket arşivi: Bug bounty

Siber Güvenlik

SpaceX, Starlink’i hackleyen araştırmacıyı ödüllendirdi

Yorum yapın

SpaceX, Starlink'i hackleyen araştırmacıyı ödüllendirdiElon Musk’ın sahibi olduğu SpaceX’in internet hizmeti Starlink, firmayı hackleyen güvenlik araştırmacısını ödüllendirdi. Şirket, güvenlik seviyesini geliştirmek için üçüncü taraflardan gelen eleştirilere önem veriyor.

Starlink’i hacklemek için gereken 25 dolarlık bir çipin yeterli olacağını kim düşünebilirdi? Belçika’dan bir güvenlik araştırmacısı olan Lennert Wouters, Starlink’in ağına ve iletişim bağlantılarına girmeyi başardı ve tüm sistemi özgürce keşfetmeyi başardı.

Yapılan kulağa oldukça korkutucu gelse de, Wouters bunu kötü bir niyetle yapmadı. Saldırı hakkında kamuya açıklama yapmadan önce, durumu Starlink’e bildirdi. SpaceX’in saldırıya verdiği cevap ise sıradışıydı.

Wouters, Starlink’e girebilmek için kendisine ait olan bir Starlink uydu çanağını söktü. Daha sonra da bir Raspberry Pi mikro kontrol cihazından, elektronik anahtarlardan, flash depolamadan ve bir voltaj regülatöründen oluşan özel bir devre kartıyla modifiye etti. Düzeneği mevcut Starlink güç devre kartına (PCB) lehimledi ve bağladı. Bağlantının sağlanmasının ardından, araç sistemi geçici olarak kısa devre yapabildi ve bu da Wouters’a sisteme açılan bir yol sağladı. Wouters erişim elde ettikten sonra ağı özgürce keşfedebildiğini söyledi.

Belediyedeki zafiyetleri bulan öğrenciye kahve fincanı seti verildi

Wouters, tüm bulgularını SpaceX’e gereği gibi özel hata ödül programı aracılığıyla gönderdi. Bu sayede de şu anda ikinci sırada yer aldığı SpaceX bug avı onur listesine dahil oldu. SpaceX muhtemelen hacker’a bulduğu hata için para ödemesi yaptı çünkü programın amacı bu. Ancak miktar açıklanmadı.

Wouters’ın hikâyeyi kendi perspektifinden yayınlamasının ardından SpaceX altı sayfalık bir makaleyle cevap verdi. SpaceX, başlıktan itibaren, tüm güvenlik araştırmacılarını Wouters’ın yaptığını yapmaya, yani sistemin bug’ını bulmaya, davet ediyor.

SpaceX, başarısından ötürü Wouters’ı tebrik ederken, diğer yandan da bu tür bir saldırının ağ ve kullanıcıları için etkisinin düşük olduğuna da dikkat çekti. SpaceX’ten gelen açıklamada, “Sistemin her bir parçasına, işini yapmak için gereken minimum ayrıcalığı vermeyi amaçlıyoruz.” denilirken, güvenliği ihlal edilmiş tek bir ekipmanın tüm ağı etkilememesi gerektiği eleştirisi ise kabul edilmiş oldu. Bununla birlikte SpaceX, bir hackerın sürekli olarak izlenmeyen fiziksel erişime sahip olduğu bir cihazı korumanın zor olduğunu da belirtiyor. Tam da bu sebeple ‘bug avı’ devam ediyor.

Sektörel

Zafiyet raporlarını çalıp bug bounty istedi: HackerOne kapıyı gösterdi!

Yorum yapın

Bug Bounty platformu olan HackerOne, bir çalışanını “kendi kişisel çıkarı için güvenlik açığı raporlarına eriştiği ve buradan ek ödüller talep ettiği” gerekçesiyle işten çıkardı.

Zafiyet raporlarının HackerOne programı dışında ifşa edildiğini açıklayan platform yetkilileri “Bu, değerlerimizin, kültürümüzün, politikalarımızın ve iş sözleşmelerimizin açık bir ihlalidir.” ifadelerini kullandı.

“MESLEKTAŞLARININ EMEĞİ ÜZERİNDEN KAZANÇ ELDE ETMEYE ÇALIŞTI”

Şirketleri siber güvenlikçilerle buluşturan bir Bug Bounty platformu olan HackerOne, çalışanını işten çıkarma gerekçesinde “kendi kişisel çıkarı için güvenlik açığı raporlarına eriştiği ve buradan ek ödüller talep ettiği ve bunları HackerOne programı dışında ifşa ettiği”ni bildirdi.

Söz konusu olay, HackerOne müşterisi olan bir şirketin aynı güvenlik zafiyetini iki kişinin farklı yollardan raporladığını, normalde böyle olaylar yaşansa da bu vakada bir kişinin güvenlik açığıyla ilgili oldukça tehditkâr bir dil kullandığını belirttiği bir mesajı HackerOne’a iletmesiyle ortaya çıktı.

Konunun üzerine düşen HackerOne araştırmacıları daha sonra çalışanların güvenlik açığı açıklamalarına erişimiyle ilgili günlük verilerine baktı ve müşterilerin şüpheli olarak bildirdiği açıklamaların her birine yalnızca bir çalışanın eriştiğini buldu.

Hackerlikte “racon” değişti: Kim korkar deşifre olmaktan?

HackerOne, “Müşterimizden gelen mesaj sonrası 24 saat içinde söz konusu çalışanın sistem erişimini sonlandırmak için adımlar attık ve araştırmamızda derinleşmek için dizüstü bilgisayarlarını uzaktan erişime kapattık.” açıklamasında bulundu.

“BUG BOUNTY PROGRAMLARINA GÜVEN SARSILABİLİR”

Vulcan Cyber’dan Mike Parkin, bunun gibi olayların, HackerOne’ın yönettiği gibi kitle kaynaklı güvenlik açığı programlarının başarısının anahtarı olan güveni baltalayabileceğini ifade etti.

Parkin, “Güven, güvenlik açığı araştırmalarında büyük bir faktördür ve birçok bug bounty programında önemli rol oynar. Yani, birisi başka bir araştırmacının çalışmasını çalıp onu kendisininmiş gibi sunduğunda, bu temel güven sarsılabilir.” diye konuştu.

Bunun yanı sıra Parkin, HackerOne’ın şeffaf olduğunu ve durumu çözmek için hızlı davrandığını belirterek, “Umarım olay güvenlik açığı araştırma ekosistemini genel olarak etkilemez. Fakat ileriye dönük bug bounty başvurularının daha derin incelenmesine yol açabilir.” değerlendirmesinde bulundu.

Olayın ardından HackerOne, kontrollerin ve taramaların artacağını, çeşitli iyileştirmeler yapılacağını duyurdu.

Sektörel

BugBounter, Avrupa’da ilk çözüm ortaklığını oluşturdu

Yorum yapın

BugBounter, Avrupa’da birçok ülkeye siber güvenlik çözümleri sunan Cyberarch ile Estonya merkezli ilk çözüm ortaklığı anlaşmasını yaptı. Cyberarch, BugBounter’ın ödül avcılığı hizmetini kendi çözümleri ile birleştirerek sunacak.

Şirketlerin güvenlik açıklarını denetleme, bulma ve doğrulama ihtiyacını bünyesindeki 2000 siber güvenlik uzmanıyla  karşılayan BugBounter (www.bugbounter.com), Estonya’daki ilk çözüm ortaklığına Cyberarch (www.cyberarch.eu) ile imza attı. Bu iş birliğiyle dünyanın en büyük girişimcilik ekosistemlerinden birisine ev sahipliği yapan Estonya ve komşu ülkelerdeki şirketler, siber güvenlik açıklarını BugBounter’ın ödül avcılığındaki kapsamlı testlerle tespit edebilecek ve önlemlerini Cyberarch’ın danışman kadrosunun desteği ile alabilecek.

Türk siber güvenlik firması BugBounter yatırım almaya devam ediyor

BugBounter Kurucu Ortağı ve CEO’su Arif Gürdenli, konuyla ilgili şu açıklamalarda bulundu: “BugBounter olarak öncelikle Avrupa, Orta Doğu ve Asya’da, daha sonra global ölçekte hizmet sunan bir siber güvenlik platformu olmak için çalışıyoruz. Yönetilen siber güvenlik hizmetleri alanında uzman ve lider bir şirket olan Cyberarch ile oluşturduğumuz iş birliğimiz, Avrupa’daki ilk çözüm ortaklığı olma özelliğini taşıyor. Bu ortaklık sayesinde platformumuzda kayıtlı 2000 siber güvenlik uzmanı, küresel olarak çok daha büyük şirketlerin başlatacağı bug bounty (ödül avcılığı) programlarına katılma fırsatı yakalayacak. Bu işbirliği, platformdaki Türk uzmanların bulguları karşılığında ülkemize döviz girdisi de sağlayacak.”

Sektörel

Bug Bounty, finans sektörüne siber güvenlikte hız kazandırabilir

Yorum yapın

Bug bounty (ödül avcılığı) programları,  finans sektöründe ortalama 9 ay süren zafiyet tespiti süresini azaltmak için en çevik yol olarak görülüyor.

Araştırmalara göre bir veri ihlalini tespit etmek ve kontrol altına almak ortalama 287 gün sürüyor. Bu da her sektör için çok uzun bir süre ancak özellikle de finans gibi hassas bir sektörde faaliyet gösteren şirketler için daha da kritik.

Dünyada artık nakit kullanımı azalıyor ve dijital ödeme seçenekleriyle yapılan işlemlerin sayısı artıyor.  Artan siber güvenlik risklerine karşı şirketlerin sistemlerinin güvenlik açıklarını düzenli değil, sürekli olarak denetletmeleri gerekiyor.

Her geçen gün siber güvenlik, şirketler ve kurumlar için çok daha önemli hale geliyor. 2020’de fidye yazılımları yüzde 150 arttı ve her 39 saniyede yeni bir saldırı gerçekleştirildi. Bu saldırılardan birinin başarıya ulaşması, bankalar ve fintekler için büyük sorunlar oluşturabilme potansiyeline sahip.

Öte yandan siber saldırılar yapay zeka ve kendi kendine öğrenen kötü amaçlı yazılımlarla çok daha etkili hale geliyor. Bu noktada kimlik doğrulama alanındaki tek seferlik şifreler (OTP) ve bilgi tabanlı doğrulamalar (KBA), siber saldırganların en çok başvurduğu saldırı alanları olarak öne çıkıyor.

HER SANALLAŞMA ADIMI YENİ GÜVENLİK AÇIKLARI ÇIKARIYOR

Verileri birçok şekilde ihlal etmek mümkün. Ancak hepsinin ortak sonucu ise finansal ve itibar kayıpları oluyor. Finansal işlemlerin dijital platformlardan yapılması, mobil bankacılık ve bulut hizmetlerinin daha fazla kullanılması ise veri ve işlem güvenliğinin sağlanmasını daha da zorlaştırıyor.

Apple’dan bug bounty avcılarına ödül : Hindistanlı beyaz şapkalı hackerlar 50 bin dolar kazandı

Sürekli geliştirilen ve güncellenen uygulamalar siber suçluların, müşterilerin hassas finansal verilerine ulaşabilmesini sağlayacak potansiyel açıklarla birlikte geliyor.

Durmaksızın varlığı bilinmeyen açıkları arayan siber saldırganlar, finans sektörünü maliyet açısından veri ihlallerinden en çok etkilenen ikinci sektör haline getirmeye devam ediyor. 2021’de finansal kuruluşlar, veri ihlalleriyle doğrudan bağlantılı ortalama 5,72 milyon dolar kayıpla karşı karşıya kaldı.

Bir veri ihlalini tespit etmek ve kontrol altına almak ortalama 287 gün sürüyor. Ortalama bir veri ihlali de dokuz aydan uzun süre fark edilmiyor. Bu da tehlike altında olan bankacılık kayıtlarından ve çalınan kayıtlardan ötürü oluşan mali etkiyi ciddi oranda artırıyor.

Dijital Güvenlik

Hastaneden bug-bounty yerine komik teklif : Zafiyeti bulana ücretsiz check-up önerildi

Yorum yapın

Tüm dünyada olduğu gibi çeşitli sistem veya networklerde olabilecek güvenlik zafiyetlerinin, kötü niyetli hackerlar tarafından istismar edilmeden önce bulan, bulduğu zafiyeti ilgili kuruma ileten ve oluşabilecek maddi manevi kaybı en aza indirgemede yardımcı olan kişilere etik hacker ismi veriliyor. 

Güvenlik zafiyeti arayan, özellikle devlet kurumlarındaki zafiyetleri tespit ederek aynı zamanda toplumu koruma misyonuyla hareket eden etik hackerlar, maddi kazançlarını veya prestijlerini, ilgili zafiyetler neticesinde elde ettikleri ödüllerle ve yine ilgili zafiyetler ile alakalı yayımladıkları teknik makalelerle elde ediyorlar.

Türkiye’de siber güvenlik araştırmacısı ve etik hacker olan Utku Şen, Türkiye’deki hastane zincirlerinden birinde keşfettiği zafiyeti ve yaşadığı olayları anlattığı blog yazısı birçok durumu gözler önüne serdi.

ÜCRETSİZ CHECK-UP TEKLİF EDİLDİ!

Bir siber güvenlik araştırmacısı ve etik hacker olarak zaman zaman çeşitli platformlarda güvenlik zafiyeti aradığını söyleyen Utku Şen, Türkiye’deki büyük hastaneler zincirinin birinin internet sitesinde bir güvenlik zafiyeti keşfetti. Keşfettiği zafiyetin hastane tarafından kapatıldığını belirten Şen, kendine ait blog sayfasında zafiyetle ilgili teknik rapor yayımladı. Şen ayrıca, teknik raporları yayımlayana kadar geçen sürede yaşadığı zorluklara da sayfasında yer verdi.

Uzun çabalar sonucu keşfettiği zafiyeti hastaneye bildiren Utku Şen, yapılan incelemelerden sonra zafiyetin kapatıldığını belirtiyor. Hastane yetkilileri tarafından kendisine keşfettiği zafiyet karşılığında ödül olarak ‘ücretsiz check-up’ teklif edildiğini ancak bu ‘komik’ teklifi reddettiğini ifade eden Şen, bunun yanı sıra hastane yetkililerinin teknik makale yazmasına da karşı çıktığını belirtiyor.

Hukuki olarak hastanenin böyle bir hakkı olduğunu ‘üzülerek’ kabul eden Şen, bir etik hacker olarak ödül ve prestij kazanımının önüne geçen bu yaklaşımın ‘etik’ olmadığını ifade ediyor.

ŞEN’İN KEŞFETTİĞİ GÜVENLİK ZAFİYETİ

Hukuki olarak isim veremediği için “Sıhhat Bahçesi” olarak adlandırdığı hastanenin internet sitesine giren Şen, tahlil sonuçlarına bakmak için ziyaret ettiği sayfada, kişilerden TC kimlik numarasının istendiği bir form olduğunu, kimlik numarası girildikten sonra bir request oluştuğunu, işlem sonrası ise SMS onay koduyla bir doğrulama yapıldığını söylüyor. SMS kodu doğru girildiği takdirde tahlil sonuçlarının göründüğünü belirtiyor.

TC kimlik numarasını forma girdikten sonra Burp Suite kullanarak gelen response’a bakan Şen, kodun response içerisinde göründüğünü, yani telefona gelen SMS kodunun işlevinin ortadan kalktığını söylüyor. Böylelikle kötü niyetli hackerlar, halihazırda sızdırılmış TC kimlik numaralarını kullanıp kişilerin tahlil sonuçlarına ulaşabiliyor.

Bunun yanı sıra Şen, hastanenin internet sitesinde zaman kısıtlaması veya CAPTCHA gibi çeşitli korumalar bulunmadığını ve bu zafiyetler bulunmasa bile TC kimlik numarası bilinen bir hastanın SMS kodu brute-force yöntemiyle kolayca bulunup tahlil sonuçlarına erişilebildiğini söylüyor.

Utku Şen’in bulduğu güvenlik zafiyetiyle ilgili rapora ve yazıya ulaşmak için kendi blog sitesini ziyaret edebilirsiniz.