Etiket arşivi: güvenlik zafiyeti

Google’ın Bug Bounty ödülleri Microsoft’un ödülleriyle yarışıyor

2 Temmuz 2023 Oğuzcan Balyemez Yorum yapın

Siber güvenlik zafiyetlerini bulan ve bu açıkların ayrıntılarını Google’a bildiren kişiler, 2022 yılında şirketin Zafiyet Ödül Programları (VRP) kapsamında rekor bir yıl yaşadı.

Toplamda 2 bin 900’den fazla güvenlik araştırmacısı güvenlik açıklarını bildirerek Google’dan ödül kazanırken Google, bugüne kadarki en yüksek ödeme miktarını gerçekleştirdi.

GOOGLE, MICROSOFT’LA REKABET EDİYOR

Google’ın 2022’deki VRP bug bounty programı, 12 milyon doların üzerinde ödeme gerçekleştirerek rekor bir seviyeye ulaştı. Bu, önceki yıllarda ödenen 8,7 milyon dolarlık zafiyet ödüllerini geride bıraktı. Microsoft’un ödeme miktarıyla rekabet etmek amacıyla, Google ödüllendirme programlarını genişletti ve yeni programlar ekledi.

YUVAL AVRAHAMİ 133 BİN DOLAR KAZANDI

Google’dan en çok ödül kazanan kişi Palo Alto Networks Unit 42 analisti Yuval Avrahami oldu.

Avrahami’nin, Google Kubernetes Engine (GKE) Autopilot’ta bulduğu zafiyetler ve saldırı yöntemleri sayesinde bir saldırganın sistemden kaçması, yetkilendirme düzeyini yükseltmesi ve erişimi korumak için arka kapılar oluşturması mümkün hâle geliyordu.

Google Bug Bounty’de kesenin ağzını açtı: Zafiyeti bulana 31 bin dolar ödül!

Google ise Avrahami’yi en büyük ödül olan 133.337 dolarla ödüllendirdi. Sivanesh Ashok ve Sreeram KL, Google Compute Engine’deki SSH anahtar enjeksiyonu ve Google Cloud Workstations’da yetkilendirme atlatma üzerine yaptıkları araştırmalarla 73.331 dolarlık ödül kazandı.

Kubernetes’teki ayrıcalık yükseltme vektörleri ve Azure AKS, Amazon EKS ve Google GKE gibi Kubernetes barındırma sağlayıcılarında bulunan zafiyetler nedeniyle bazı araştırmacılara da 17.311 dolarlık ödül verildi.

BUG BOUNTY PROGRAMLARI ŞİRKETLER İÇİN ÖNEMLİ BİR ROL OYNUYOR

Google ve diğer şirketlerin bu ödüllendirme programları, şirketlerin güvenlik açıklarını hızlı bir şekilde tespit etme ve düzeltme sürecini destekliyor. Bunun yanı sıra bu programlar dijital güvenlik alanında önemli bir rol oynuyor.

Dijital Güvenlik

İnsülin cihazı hacklenebilir mi?: ABD’li firma ürünlerini geri topladı

13 Ekim 2021 Ergün Varlık Yorum yapın

ABD eski Başkan Yardımcısı Dick Cheney’nin, hacklenmesinden korktuğu için kalp pilini uzaktan erişime kapattırmasının ardından on yıla yakın süre geçti. Bu zaman içerisinde sağlık sektörü farklı şekillerde siber saldırganların hedefi olmaya devam etti. Hedeflerin başında da hızla dijitalleşen sağlık ekipmanları geliyor.

Sağlık ekipmanlarının hacklenme riskiyle ilgili son örnek dünyanın önde gelen medikal cihaz üreticilerinden biri olan Medtronic’ten geldi.

Şirket ürettiği bazı insülin pompalarındaki güvenlik zafiyetlerinin kullanıcılarda ölüm ya da yaralanmaya sebebiyet vereceği için ürünleri geri toplama kararı aldı.

İNSÜLİN MİKTARININ DEĞİŞTİRİLMESİ KALICI HASAR BIRAKABİLİR

Yetkisiz kişilerin uzaktan insülin pompalarına erişimine imkan veren güvenlik zafiyetini istismar eden tehdit aktörlerinin, kullanıcının ihtiyacı olan insülinin miktarını değiştirerek kalıcı hasara neden olabileceği belirtildi.

Herhangi bir kullanıcı etkileşimine gerek kalmadan kullanıcıya verilecek insülin miktarının ayarlanmasını sağlayan ve özelliğin yetkisiz kişilerinin uzaktan erişimine açık olduğu belirlendi.

Araştırmacılar, hedeflenen alete yakın bir yerden radyo frekanslarını kopyalayan bir saldırganın pompaya uzaktan kontrol edebileceğini ortaya çıkardı.

IoT cihazlarına yönelik saldırılarda şoke edici artış

Şirket bu zamana kadar aletlerin hacklenmesinden dolayı herhangi bir kullanıcının zarar görmediğini açıkladı.

Firma, 2018 yılında da bazı insülin pompalarını hacklenme riskinden dolayı geri çağırmıştı. ABD’de kullanılan ilaç ve medikal cihazları düzenleyen kamu kurumu FDA da söz konusu ürünler için birinci sınıf geri çağırma uyarısı yayımladı.

Dijital Güvenlik

Hastaneden bug-bounty yerine komik teklif : Zafiyeti bulana ücretsiz check-up önerildi

9 Ekim 2021 Oğuzcan Balyemez Yorum yapın

Tüm dünyada olduğu gibi çeşitli sistem veya networklerde olabilecek güvenlik zafiyetlerinin, kötü niyetli hackerlar tarafından istismar edilmeden önce bulan, bulduğu zafiyeti ilgili kuruma ileten ve oluşabilecek maddi manevi kaybı en aza indirgemede yardımcı olan kişilere etik hacker ismi veriliyor.

Güvenlik zafiyeti arayan, özellikle devlet kurumlarındaki zafiyetleri tespit ederek aynı zamanda toplumu koruma misyonuyla hareket eden etik hackerlar, maddi kazançlarını veya prestijlerini, ilgili zafiyetler neticesinde elde ettikleri ödüllerle ve yine ilgili zafiyetler ile alakalı yayımladıkları teknik makalelerle elde ediyorlar.

Türkiye’de siber güvenlik araştırmacısı ve etik hacker olan Utku Şen, Türkiye’deki hastane zincirlerinden birinde keşfettiği zafiyeti ve yaşadığı olayları anlattığı blog yazısı birçok durumu gözler önüne serdi.

ÜCRETSİZ CHECK-UP TEKLİF EDİLDİ!

Bir siber güvenlik araştırmacısı ve etik hacker olarak zaman zaman çeşitli platformlarda güvenlik zafiyeti aradığını söyleyen Utku Şen, Türkiye’deki büyük hastaneler zincirinin birinin internet sitesinde bir güvenlik zafiyeti keşfetti. Keşfettiği zafiyetin hastane tarafından kapatıldığını belirten Şen, kendine ait blog sayfasında zafiyetle ilgili teknik rapor yayımladı. Şen ayrıca, teknik raporları yayımlayana kadar geçen sürede yaşadığı zorluklara da sayfasında yer verdi.

Uzun çabalar sonucu keşfettiği zafiyeti hastaneye bildiren Utku Şen, yapılan incelemelerden sonra zafiyetin kapatıldığını belirtiyor. Hastane yetkilileri tarafından kendisine keşfettiği zafiyet karşılığında ödül olarak ‘ücretsiz check-up’ teklif edildiğini ancak bu ‘komik’ teklifi reddettiğini ifade eden Şen, bunun yanı sıra hastane yetkililerinin teknik makale yazmasına da karşı çıktığını belirtiyor.

Hukuki olarak hastanenin böyle bir hakkı olduğunu ‘üzülerek’ kabul eden Şen, bir etik hacker olarak ödül ve prestij kazanımının önüne geçen bu yaklaşımın ‘etik’ olmadığını ifade ediyor.

ŞEN’İN KEŞFETTİĞİ GÜVENLİK ZAFİYETİ

Hukuki olarak isim veremediği için “Sıhhat Bahçesi” olarak adlandırdığı hastanenin internet sitesine giren Şen, tahlil sonuçlarına bakmak için ziyaret ettiği sayfada, kişilerden TC kimlik numarasının istendiği bir form olduğunu, kimlik numarası girildikten sonra bir request oluştuğunu, işlem sonrası ise SMS onay koduyla bir doğrulama yapıldığını söylüyor. SMS kodu doğru girildiği takdirde tahlil sonuçlarının göründüğünü belirtiyor.

TC kimlik numarasını forma girdikten sonra Burp Suite kullanarak gelen response’a bakan Şen, kodun response içerisinde göründüğünü, yani telefona gelen SMS kodunun işlevinin ortadan kalktığını söylüyor. Böylelikle kötü niyetli hackerlar, halihazırda sızdırılmış TC kimlik numaralarını kullanıp kişilerin tahlil sonuçlarına ulaşabiliyor.

Bunun yanı sıra Şen, hastanenin internet sitesinde zaman kısıtlaması veya CAPTCHA gibi çeşitli korumalar bulunmadığını ve bu zafiyetler bulunmasa bile TC kimlik numarası bilinen bir hastanın SMS kodu brute-force yöntemiyle kolayca bulunup tahlil sonuçlarına erişilebildiğini söylüyor.

Utku Şen’in bulduğu güvenlik zafiyetiyle ilgili rapora ve yazıya ulaşmak için kendi blog sitesini ziyaret edebilirsiniz.

Siber Bülten