Etiket arşivi: github

Romanyalı hacker bug bounty’de rekorları alt üst etti: İlk kez iki milyon dolar kazandı

30 Aralık 2020 Oğuzcan Balyemez Yorum yapın

**Cosmin Iordache, bug bounty yarışında gelir rekoru kırdı**

Romanyalı beyaz şapkalı hacker Cosmin Iordache , internetteki güvenlik açıklarını bularak iki milyon dolardan fazla kazanan ilk kişi oldu. Iordache bu geliri, dünyanın önde gelen ödül avcılığı (bug bounty) platformu HackerOne üzerinden kazandı.

HackerOne platformu tara Twitter’da paylaşılan mesajda, “334 gün önce 1 milyon dolara ulaşan yedinci hacker Cosmin Iordache idi. Bugün ise 2 milyon dolara ulaşan ilk hacker olarak başarısını kutluyoruz.” ifadelerini kullandı.

2 MİLYON DOLAR ÖDÜLE ULAŞTI

Bir süre önce HackerOne platformuna katılarak güvenlik açıklarını aramaya girişen Cosmin, 2019 yılında 1 milyon dolara ulaşan yedinci hacker olurken, 2020 yılı itibarıyla 2 milyon dolara ulaşan ilk hacker oldu.

Cosmin, HackerOne platformu aracılığıyla içlerinde PayPal, Dropbox, Facebook, Spotify, TikTok, Twitter, Uber, Github, AT&T, Verizon Media gibi üst düzey şirketlerin sistemlerinde şu ana dek 468 güvenlik açığını bildirdi. Beyaz şapkalı hacker ayrıca ABD Savunma Bakanlığına da birçok güvenlik açığı bildirdi.

İsrailli şirket yarışma açtı, 16 ülkeden 3500 hacker saldırdı

Son iki yılda yedi beyaz şapkalı hacker 1 milyon dolardan fazla para kazanırken Bleeping Computer’a göre Cosmin 90 gün içerisinde kabaca 300 bin dolar kazandı.

Hackerlığa olan ilgisi 2016 yılında Hamburg’da düzenlenen HackAttack semineriyle başlayan Cosmin, daha öncesinde full-stack developer olarak çalışıyordu. Sonrasında HackerOne platformundaki beyaz şapkalı hackerların güvenlik açığı raporlarını okuyarak işe başlayan Cosmin, kendisini bu alanda geliştirdi. Sonrasında Singapur’da düzenlenen h1-65 canlı hack etkinliğinde en yüksek mertebe olan ‘The Assassin’ olmaya hak kazandı. Aslen Romanyalı olan Cosmin, son 6 yıldır eşi ve iki köpeğiyle beraber Almanya’da yaşıyor.

HackerOne ÜZERİNDEN 100 MİLYON DOLAR KAZANDILAR

HackerOne platformuna göre, beyaz şapkalı hackerların yaklaşık yüzde 12’si yılda ortalama 20 bin dolar kazanırken, yüzde 3’ü 100 bin doların üzerinde kazanıyor. Yüzde 1,1’lik kesim ise yıllık ortalama 350 bin doların üstünde kazanıyor.

Şirketler ve beyaz şapkalı hackerlar arasında bir aracı görevi gören platform, beyaz şapkalı hackerların sadece 2018’de 19 milyon doların üzerinde ödül kazandığını ve bunun da önceki beş yılda HackerOne üyeleri tarafından kazanılan toplam 24 milyon dolara neredeyse eşdeğer olduğunu bildirmişti.

Beyaz şapkalı hackerlar, 2020’nin Mayıs ayı itibarıyla ise HackerOne platformu üzerinden 100 milyon dolar kazandı.

ŞU ANA DEK 170.000 GÜVENLİK HATASI KEŞFEDİLDİ

HackerOne platformunda beyaz şapkalı hackerlar, şirketin CEO’su Mårten Mickos’a göre, güvenlik açıklarını bildirmeye başladıklarından beri yaklaşık 170.000 güvenlik hatası buldu.

Şu anda 700.000’den fazla beyaz şapkalı hacker, neredeyse 2 bin HackerOne müşterisinin ürünlerindeki güvenlik açıklarını bulup bildirmek için çaba harcıyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Kritik Altyapı Güvenliği

Brezilya’da Devlet Başkanı ve üst düzey yetkililerin bilgileri sızdırıldı

30 Kasım 2020 Zeynep Kılıç Yorum yapın

Brezilya’da Devlet Başkanı Jair Bolsonaro’nun aralarında bulunduğu çok sayıda kamu görevlisinin kişisel verileri internete sızdırıldı.

Sızıntıdan etkilenenler arasında Bolsonaro’nun yanısıra yedi bakan ve 17 eyaletin valisi yer alıyor. Söz konusu sızıntı, bir hastane çalışanının GitHub adlı sisteme 16 milyon kişinin kullanıcı adları, parolalar ve kritik kamu sistemlerine erişim bilgilerini içeren bir elektronik tablo yüklemesinin ardından gerçekleşti.

SIZINTIYI GitHub KULLANICISI KEŞFETTİ

Sızıntı, bir GitHub kullanıcısının Sao Paolo’daki Albert Einstein Hastanesi çalışanlarından birinin kişisel GitHub hesabında kullanıcı şifrelerini içeren elektronik tabloyu görmesi ile açığa çıktı. Kullanıcı daha sonra durumu Estado gazetesine bildirdi. Verileri analiz eden gazete de hastaneyi ve Brezilya Sağlık Bakanlığı’nı konu hakkında bilgilendirdi.

Estadao muhabirleri, 27 eyaletteki Brezilyalılara ait açığa çıkan veriler arasında Devlet Başkanı Bolsonaro, başkanın ailesi, yedi bakan ve 17 Brezilya eyaletinin valileri gibi yüksek profilli kişilerin bilgilerinin de olduğunu açıkladı. Olayın açığa çıkmasıyla elektronik tablo GitHub’dan kaldırılırken, hükümet yetkilileri sistemlerini yeniden güvence altına almak için şifreleri değiştirdi ve erişim anahtarlarını iptal etti.

Sızdırılan kimlik bilgilerinin yer aldığı sistemler arasında, COVID-19 hastalarının verilerini depolamak için kullanılan devlete ait iki veritabanı E-SUS-VE ve Sivep-Gripe bulunuyor. Hafif semptomları olan COVID-19 hastalarını kaydetmek için E-SUS-VE kullanılırken, hastanede yatan vakaları takip etmek için ise Sivep-Gripe kullanılmaktaydı. Her iki veri tabanında da hasta isimleri, adresleri, kimlik bilgileri gibi hassas bilgilerin yanı sıra hastaların tıbbi geçmişi ve ilaç kullanımları gibi sağlık kayıtlarını da içeriyordu.

Sağlık ve Veri Mahremiyeti Dengesi: HES Terazisini Nasıl Dengede Tutacağız?

COVID-19 VERİ TABANLARI GÜVENİLİR DEĞİL

COVID-19 salgını başladığından beri birçok devlet ve devlet adına çalışan firma, COVID-19 ile ilgili uygulamalarını ve veri tabanlarını güvence altına alma noktasında sorun yaşıyor. Almanya, Galler, Yeni Zelanda, Hindistan ve birçok başka ülkede kullanılan COVID-19 uygulamalarında ve sistemlerinde güvenlik açıkları ve sızıntılar ortaya çıkarıldı.

Intertrust tarafından geçtiğimiz Eylül ayında yayınlanan bir araştırmaya göre, COVID-19 temas izleme uygulamalarının yaklaşık yüzde 85’i bir şekilde veri sızdırıyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Lostar

“IoT cihazları çevrimiçi olduktan sadece 6 dakika sonra ele geçiriliyor”

12 Nisan 2018 Ergün Varlık Yorum yapın

Siber Güvenlik Danışmanı Cansın Yıldırım

Son aylarda karmaşık DDoS saldırılarının sayısında görülen ciddi artış siber güvenlik firmaları başta olmak üzere birçok kuruluşun dikkatini çekiyor. DDoS saldırılarına dair günümüzdeki tehdit ortamı hakkında yayınlanan çok sayıda istatistik, gelişen Nesnelerin İnterneti (IoT) dünyasını ve gittikçe daha fazla sayıda cihazın internete bağlanıyor olmasını artan saldırı sebeplerinin başında gösteriyor.

Dağınık Hizmet Engelleme (Distributed Denial of Service) saldırısı, birden fazla bilgisayarın tek bir noktaya saldırması anlamına geliyor. Deloitte Global’e göre, 2013’teki en büyük saldırı saniyede 300 gigabitti. 2014 yılında 400 gigabit, 2015 yılında ise 500 gigabitti. Fakat 2016 yılında büyük bir sıçrama oldu ve saniyede 1 Terabit/saniye eşiğini geçti.

Geçtiğimiz haftalarda ise isteyen herkesin yazılımların kaynak kodlarını paylaşabileceği bir depolama servisi olan Github, bu zamana kadar kaydedilen en büyük DDOS saldırısına maruz kaldı. Dakikalarca hizmet dışı kalan site, saniyede 1,35 terabayt trafikle saldırıya uğradı.

Durumu Siber Bülten’e değerlendiren Lostar’ın Siber Güvenlik Danışmanı Cansın Yıldırım’a göre, gerçekten de son yıllarda DDoS saldırılarında ciddi bir artış var. “Bu artış hem saldırıda kullanılan cihaz sayısı hem de gönderilen paket büyüklüğünde hissediliyor.” diyor Yıldırım.

Cihaz sayısındaki artışa 2016 yılındaki Mirai zararlı yazılımın gerçekleştirdiği saldırıyı örnek gösteren Yıldırım, varsayılan kullanıcı adı ve parola ile IoT cihazlarına bulaşan Mirai zararlısnını Fransız hosting firması OVH ve gazeteci Brian Kerbs’i hedef aldığını hatırlattı.

Teknoloji gazetesi The Register’daki bir habere göre IoT cihazları çevrimiçi olduktan sadece 6 dakika sonra ele geçiriliyor. “Her gün İnternet’e açılan cihaz sayısı göz önünde bulundurulduğunda Mirai gibi zararlı yazılımlarla ve onların saldırılarıyla sık sık karşılaşacağız gibi duruyor.” diye ekliyor Yıldırım.

28 Şubat 2018’de ise GitHub tarihin en büyük hizmet engelleme saldırısına maruz kalmıştı; saldırıda “Amplification Attack” denilen yöntem kullanılmıştı. Amplification yani yükseltme saldırıları sunucudan dönen yanıtın gönderilen istek paketinden çok daha büyük olmasından kaynaklanıyor. Ayrıca UDP protokolünün doğası gereği sunucudan dönen yanıtın saldırganın belirlediği hedef sisteme yönlendirilebildiği için az bant genişliği kullanarak istenilen hedefe büyük miktarlarda paket göndermek mümkün.

İnternet’e açık memcached sunucularının UDP portunu kullanılarak saniyede 1.3 Terabitlik bir yükseltme saldırısı sonucu GitHub sunucularını 10 dakika boyunca hizmet veremez duruma getirdiğini aktaran Yıldırım’a göre ister politik nedenlerden olsun isterse de maddi kazanç, hizmet engelleme saldırıları göz ardı edilemeyecek bir tehlike.

Dijital paraların hızla değer kazanmasının artan DDoS ataklarının en önemli sebeplerinden biri olarak lanse edilmesi konusunda ise Yıldırım şunları aktardı: “Bu ve benzeri saldırıları sadece dijital paraların değer kazanmasına bağlamak bence eksik bir ifade olur. Sonuçta hizmet engelleme saldırıları dijital paralar ortada yokken de gerçekleşiyordu ama elbette maddi kazanç saldırganlar için ciddi bir motivasyon kaynağı.”

‘Büyük saldırılar devam edebilir’

GitHub saldırısından sadece birkaç gün sonra ağ güvenliği firması Arbor Networks 1.7Tbps büyüklüğünde atak tespit ettiğini duyurdu. CloudFlare firmasının memcached saldırıları ile ilgili hazırladığı blog yazısında 15 byte’lık istek paketinin 750kB’lık cevap ürettiğini yazdığını hatırlatan Yıldırım’a göre bu da yaklaşık olarak 51 bin 200 katına tekabül ediyor.

Aynı blog yazısına referansta bulunarak, saldırının 120 farklı noktadan ama ağırlıklı olarak Avrupa ve Kuzey Amerika’daki büyük hosting firmalarından geldiğini belirten Lostar’ın güvenlik danışmanı sözlerine şöyle devam etti: “Arama motoru Shodan’a göre hala 88 bin memcached sunucusu İnternet’e açık Bu da ileride daha büyük saldırıların olabileceği anlamına gelebilir.”

DDoS’a karşı bu önlemleri alın!

Birçok istatistik, proaktif ve sürekli gelişen DDoS korumasının hayati önem taşıdığını gösteriyor. Yıldırım’a göre ise kullanılmayan servislerin kapatılması ve güvenlik duvarı gibi çözümlerin devreye alınıp, erişim yetkilerinin doğru yapılandırılması saldırı yüzeyini azaltacaktır.

“Bunun dışında ağ trafiğinin izlenmesi ve kayıt altına alınması olası saldırıyı tespit etmek ve engellemek adına önemli bir adım olacaktır. Bunlara ek olarak, saldırı simulasyonları gerçekleştirilerek kurumların bu tür hizmet dışı bırakma saldırılarına karşı yeterliliklerinin ölçülmesi gerektiği düşüncesindeyim.” diye ekliyor Yıldırım.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Siber Güvenlik

GitHub, dev DDoS saldırısını geri püskürttü

6 Mart 2018 Ergün Varlık 1 Yorum

İsteyen herkesin yazılımların kaynak kodlarını paylaşabileceği bir depolama servisi olan Github, bu zamana kadar kaydedilen en büyük DDOS saldırısına meydan okuyarak bir rekor kırdı.

Çoklu sistemlerde hedef sistemin kaynakları ya da bant genişliği istilaya uğradığı zaman oluşan DDoS saldırısını bertaraf eden Github böylece gücünü kanıtlamış oldu. Geçtiğimiz çarşamba günü saniyede 1,35 terabayt trafikle saldırıya uğrayan depolama servisi, özetle aralıklı bir şekilde gerçekleşen kesintilerle mücadele etti.

10 dakika içerisinde sistem otomatik olarak kendi DDos azaltma servisi Akamai Prolexic’ten yardım istedi. Aracı olarak devreye giren Prolexic Github’a gelen ve giden bütün trafiği yönlendirdi ve verileri ayıklaması ve kötü niyetli verileri engellemek için temizleme merkezine gönderdi. Sekiz dakika sonra saldırganlar mücadeleden vazgeçerek geri çekildi.

Kaçırılmayacak etkinlik >> 50 yıllık tecrübeyi 3 saatte dinlemeye hazır mısın?

Son olayla, saldırının boyutu fazla paralellik göstermese de 2016’da internet altyapı şirketi Dyn’ye yapılan DDoS saldırısına epeyce yaklaşılmış oldu. 2016’daki söz konusu olayda saldırı saniyede 1,2 terabayt trafikle zirveye ulaşmıştı ve Dyn saldırıyı kontrol altına almaya çalışırken ABD genelinde bağlantı sorunları yaşanmıştı.

Akamai şirketinin web güvenliği bölüm başkanı Josh Shaul, kapasitelerini internetin bu zamana kadar karşılaştığı en büyük saldırının beş katı fazlası üzerine şekillendirdiklerini, bu yüzden 1,3 terabayt trafikli bir saldırıyı kontrol etme noktasında emin olduklarını belirtti. Ancak Shaul, aynı zamanda daha önce 1,5 terabaytlık bir saldırı ile karşılaşmadıklarını da sözlerine ekledi.

İlgili haber>> DDoS saldırıları İsveç’te tren trafiğini etkiledi

Akamai saldırıya birkaç yolla karşılık verdi. Prolexic’in genel DDoS savunma altyapısına ek olarak firma ayrıca çok yakın zamanda ‘memcached sunucuları’ olarak adlandırılan mekanizmadan kaynaklanan bir tür DDoS saldırısını hafifletme sistemi edinmişti.

Bu veri tabanını önbelleğe alma sistemleri networkleri ve internet sayfalarını hızlandırmak için çalışan sistemler. Yaklaşık 100 bin tane olan bu ‘memcached sunucuları’nın büyük çoğunluğu özel işletmeler ve enstitülere ait bulunuyor ve kimlik kanıtlamam korumasına sahip değil. Bu da bir saldırganın sistemlere girebileceği ve onlara özel bir komut verisi gönderebileceği anlamına geliyor. Sunucu da çok buna misliyle karşılık verebiliyor.

Dyn ve Fransız telekomünikasyon şirketi OVH’de yaşanan resmi bir botnet (çok sayıda bilgisayarın bir IP’ye saldırması) saldırısından farklı olarak memcached DDoS saldırısı için, zararlı yazılım odaklı bir botnet gerekmiyor. Saldırganlar kolaylıkla kurbanının IP adresini kullanarak tcp/ip paketleri oluşturuyor ve birden çok memcached synucusuna web sorguları gönderiyor. Memcached sistemleri kurbana bunun elli misli veri ile cevap veriyor.