1. Anasayfa
  2. Gündem
  3. Üniversite öğrencisi, NASA’nın güvenlik açığını buldu

Üniversite öğrencisi, NASA’nın güvenlik açığını buldu

Üniversite öğrencisi, NASA’nın güvenlik açığını buldu
Yayınlanma:
Zonguldak Bülent Ecevit Üniversitesi Bilgisayar Mühendisliği Bölümü öğrencisi Yusuf Nas (22), Ulusal Havacılık ve Uzay Dairesi'nin (NASA) güvenlik ihlallerini bulmaları için açtığı etkinliğe katıldı.

Nas, kullanıcı girişlerinde kritik bir güvenlik açığı tespit edip, raporladı. NASA tarafından, ‘Takdir mektubu’ ile ödüllendirilen Nas’a aynı zamanda NASA’nın onur listesine de gireceği bildirildi. Yusuf Nas, 'Web güvenliği' alanıyla ilgilendiğini, firmaların açıklarını tespit edip ‘Bug bounty’ adı verilen ödül avcılığı yaptığını anlatarak, “Ödül avcılığı program türünü Türkiye’de yapan çok fazla insan var. Ben de bu alanda ilerlemeye çalışıyorum. İlerisi için ‘Bug bounty’nin yeni sistemlerine ayak uydurmaya çalışıyorum” dedi.

1Bülent Ecevit Üniversitesi Bilgisayar Mühendisliği 4’üncü sınıf öğrencisi Yusuf Nas, NASA’nın açtığı güvenlik ihlali tespit etkinliğine katıldı. 2 aylık çalışma sonucu, Nas, NASA’nın Google hesabı ile kullanıcı girişlerinde güvenlik ihlali olduğunu tespit etti. Sadece mail adresinin bilinmesiyle başka hiçbir işleme gerek kalmadan farklı bir kullanıcının hesabına geçiş yapabildiğini fark eden Nas, durumu NASA’ya rapor etti. 3 ay boyunca NASA uzmanlarına rapor yazarak destek olan Nas’ın tespit ettiği zafiyet giderildi. NASA ise Yusuf Nas’a takdir mektubu gönderdi ve isminin 'NASA Onur Listesi'ne yazılacağı bildirildi.

VERİ İHLALİ

Hedef kişinin herhangi bir tıklama yapmadan sadece mail adresi bilgisiyle hesabının çalınmasını sebep olan ‘zero click account takeover’ olarak bilinen bir zafiyet belirlediğini anlatan Yusuf Nas, "Bu zafiyet, kendi hesabınızdan başka bir hesaba geçiş yapmanızı sağlıyor. ‘Zero click’ de bu zafiyetin kritik nedenlerinden bir tanesi. ‘Zero click’ karşıdaki kullanıcının herhangi bir tıklamaya gerek kalmadan hesabının çalınması olarak değerlendiriliyor. Bu zafiyette karşıdaki kullanıcı ile herhangi bir etkileşime geçmek gerekmiyor. NASA’nın kendi kullanıcı sistemi var.

Bu kullanıcı sisteminde NASA çalışanı olmayan ama NASA’nın sistemlerinde gezmek isteyen kullanıcılar, hesap oluşturabiliyor. Bu hesapla da NASA’nın etkinliklerine başvuruda bulunabiliyor. Örneğin NASA’nın Amerika’da bir etkinliği olacak, bu hesabı açmadan başvuramıyorsunuz. Bu hesabı açtığınızda da bu etkinliğe başvuru yapabiliyorsunuz. Profilinizde adres bilgileriniz, telefon bilgileriniz mail adresiniz gibi her bilginiz olduğu için bu hesabı çalabilen kullanıcı bu verilere erişim sağlıyor. Zafiyet de burada oluşuyor. NASA'nın sisteminde Google ile giriş yapma seçeneği de var. Google'ın kendi konfigürasyon ayarında bir bozukluk olduğu için ben sadece mail adresini bildiğim hesaba giriş yapabiliyorum. Örneğin ben Yusuf’um ama Ahmet adlı kullanıcının hesabına giriş yapabiliyorum. Bu hesabın tüm bilgilerini görebiliyorum. Bu da veri ihlaline giriyor” dedi.

SÜREÇ 5 AY SÜRDÜ

SÜREÇ 5 AY SÜRDÜ

Haziran ayına kadar 2 ay çalışıp açığı tespit edip bildirdiğini söyleyen Nas, "3 aylık bir süreçten sonra bana bir takdir mektubu verdiler ve onur listesine ekleyeceklerini bildirdiler. 3 aylık süreçte önce zafiyeti bildiriyorsunuz, ondan sonra NASA’nın bir çalışanı bu zafiyeti inceliyor. Bu zafiyet onaylı bir zafiyetse süreciniz burada başlıyor. Daha sonra ek bilgiler isteniyor, ‘Zafiyeti nasıl oluşturdunuz, nasıl kapatabiliriz, bu zafiyetin etkisi nedir’ gibi. Siz bunların hepsini karşı tarafa bildiriyorsunuz, karşı taraf bazen bu zafiyetleri kapatıp diyor ki, ‘Kontrol eder misiniz, zafiyet kapandı mı?’ Siz de aynı yöntemle test ediyorsunuz. Onlar da onaylayıp bu raporu genel olarak kapatıyorlar. Benim de sürecim 3 ay sürdü. Haziran sonlarından Eylül’ün 2’nci haftasında sonuçlandı" diye konuştu.

NASA’nın açtığı ilana başvurarak sistemin açıklarını aradığını belirten Nas, "NASA’nın açıklarını tespit ettim. Bu açıkları bildirdim, onlar da bu açığın gerçekten var olduğunu kontrol etmeleri gerektiği için zaten bu süreç 3 ay sürdü. Normalde bu kadar sürmez, 1 haftada da bitirebilirler ama bu zafiyet biraz daha kritik olduğu için, veri ihlaline girdiği için her noktayı kontrol ediyorlar. Bu zafiyet farklı bir yerden tetiklenmesin, sadece burada olduğunu kanıtlayalım, farklı bir şekilde bu veriler çalınmasın diye tüm yöntemleri denetliyorlar. Raporlama sürecinde onlara yardımcı olmanız gerekiyor. Benim de tüm yaz tatilim aslında böyle geçti diyebilirim. Stajdan çıkıyordum akşam tekrar rapor için bildirim gönderiyordum. Benim için de büyük bir hayaldi. Oldu, çok mutluyum" ifadelerini kullandı.

Web güvenliği alanı ile ilgilendiğini, firmaların açıklarını tespit edip ‘Bug bounty’ adı verilen ödül avcılığı yaptığını anlatan Nas, şöyle konuştu:

“Ödül avcılığı program türünü Türkiye’de yapan çok fazla insan var. Ben de bu alanda ilerlemeye çalışıyorum. İlerisi için ‘Bug bounty’nin yeni sistemlerine ayak uydurmaya çalışıyorum. Yeni sistemler, web3 sistemler, kriptoloji, yapay zeka, bunların güvenliği alanında biraz daha uzmanlaşmak istiyorum. Bu alanda başarılı olmak için sadece istemek yetmiyor. Sürekli çalışmak lazım ben 3 yıldır bunu bırakmıyorum."

Kaynak:Demirören Haber Ajansı

HABERE YORUM KAT
UYARI: Küfür, hakaret, rencide edici cümleler veya imalar, inançlara saldırı içeren, imla kuralları ile yazılmamış,
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.
Resmi İlanlar
KBB HASTALIKLARI AD İÇİN CERRAHİ ALETLER SETİ ALIMI
KBB HASTALIKLARI AD İÇİN CERRAHİ ALETLER SETİ ALIMI
Gündem
Sivas'a Yeni Sulama Tesisi Geliyor
Sivas'a Yeni Sulama Tesisi Geliyor
Söz Var, Kazma Yok: Şarkışla’da Hastane Projesi Raporlarda Kaldı
Söz Var, Kazma Yok: Şarkışla’da Hastane Projesi Raporlarda Kaldı
Afetlere dirençli Sivas için yeni adımlar
Afetlere dirençli Sivas için yeni adımlar
STSO’dan Bakü’de iş birliği!
STSO’dan Bakü’de iş birliği!
Sivas’ta metruk binalar yıkılacak
Sivas’ta metruk binalar yıkılacak
Fatih Deveci'den terör sloganlarına tepki!
Fatih Deveci'den terör sloganlarına tepki!
Sivas’ta “Engelleri Birlikte Aşıyoruz” projesiyle engelsiz bir adım daha atıldı
Sivas’ta “Engelleri Birlikte Aşıyoruz” projesiyle engelsiz bir adım daha atıldı
Son 21 gün! Süre uzatılmayacak
Son 21 gün! Süre uzatılmayacak