Bilim / Teknoloji

İnternet sitelerinin güvenlik açıklarını yakalayarak zengin olunur mu?

"Küçük açıklar daha büyük açıklara işaret ediyor olabilir"

10 Ağustos 2016 17:46

* Mark Ward

Bugün Perşembe. Karım arkadaşlarıyla dışarıda ve gece geç dönecek. Çocuklar çoktan uyudu. Televizyonda izlemek istediğim hiçbir şey yok. Boş boş duruyorum ama dizüstü bilgisayarım ve hızlı bir internet bağlantım var.

Zamanı geçirmek için ne yapacağım?

Tabii ki de popüler internet sitelerinde güvenlik açıklarını arayacağım.

Amacım sadece boş vaktimi değerlendirmek değil. Artık çoğu siber güvenlik uzmanı zamanını internet sitelerindeki güvenlik açıklarını bulup rapor ederek geçiriyor. Birçok şirket de güvenlik açıklarının suistimal edilmemesi için bu güvenlik açıklarını rapor eden kişilere ödeme yapıyor.

Apple da yakın zamanda bir yazılım hatası avı programı başlatarak rakipleri Facebook ve Google'a katıldı. En yüksek ödülün 200 milyon dolar olduğu programa, Apple ile daha önce çalışmış kıdemli siber güvenlik uzmanları başvurabiliyor. Bu yüzden ben henüz başvuramıyorum.

Bugcrowd sitesinin kurucusu Casey Ellis "Kritik bir yetenek eksikliği var" diyor. Ellis'in sitesinde yazılım hatalarını bulan 30 bin uzman 'hacker' üye var.

 

Açık bulmak

 

Diğer kullanıcıların göz attığı sayfalara hackerların kendi kodlarını eklemesini sağlayan çarpraz kod hatalarını bulabilirim çünkü bunlardan çok fazla var. Spiderlabs siber güvenlik şirketinin tahminlerine göre web uygulamalarının % 82'si bu durumdan muzdarip.

Bu durumda benim gibi bir acemi bile bu hataları bulabilir.

Ama nereden başlayacağım?

İnternet sitelerinde ve yazılım programlarındaki güvenlik açıklarını yakalayarak para kazanan Cameron Dawe, kullanıcıların katkı yapmasına izin veren her internet sitesine bakabileceğimi söylüyor.

"Kullanıcıların katkı yapmasını sağlayan arama kutucukları, profillerdeki 'hakkında' bölümleri ve üye girişi formlarının hepsi saldırılara açık. XSS (çapraz site saldırısı) ile ilk defa gençken karşılaşmıştım. İnternetteki profillerime basit bir HTML kodu koyarak ismimi renkli yapıyordum. Bu XSS'in zararsız ve küçük bir örneğiydi. Ancak yıllar sonra bir internet sitesinde yapılan küçük bir değişikliğin güvenlik açığı olduğunu öğrendim" diyor.

Hata bulucu olarak aslında bu oyuna oldukça geç katılıyorum.

Birçok uzman saldırıya uğrayan internet sitelerini tespit etmek için otomatik araçlar kullanıyor. Bu da benim bulabileceğim güvenlik açıklarının çoktan bulunmuş ve hataların düzeltilmiş olması demek.

Yaratıcı olmam gerekecek.

Şahin gözlü, iyi niyetli hackerların düşünmeyeceği tuhafiyecilerin, tamircilerin, koşu ayakkabısı satıcılarının internet sitelerini seçeceğim.

Bu iyi bir taktik.

Birkaç dakikada bir hata buluyorum, sonra bir tane daha ve bir saatten az bir sürede 7 internet sitesinde bulduğum güvenlik açıklarını arama kutularından ve formlardan onlara bildiriyorum.

 

Kolay hatalar

 

Ben hiçbir şekilde bu konuda uzman değilim ve bu güvenlik açıklarını bulurken oldukça basit yöntemler kullanıyorum.

Ayrıca bu açıkları ben bile kolayca bulabiliyorsam çok da ciddi olamazlar değil mi?

Spiderlabs'in araştırma ekibi başkanı Lawrence Munro ciddi olabileceklerini söylüyor.

"Küçük açıklar daha büyük açıklara işaret ediyor olabilir" diyor ve ekliyor "Genelde XSS oldukça ciddi bir güvenlik açığıdır ama ciddiyetin farklı seviyeleri var."

Munro, benim bulduklarımın çok ciddi olmadığını söylüyor.

"Siber saldırgan kötü amaçlı bir bağlantı oluşturabilir ve internet sitesindeki açığı kullanarak başka bir kullanıcının bu linke bir emailin içinden tıklamasını sağlayabilir" diyor.

Bu bağlantıya tıklayan bir kullanıcı "cookies" olarak bilinen küçük dosyaların saldırganın eline geçmesini sağlar ve saldırgan kullanıcının hesabını çalabilir.

NCC Group siber güvenlik uzmanı Matt Lewis de denetlediği web uygulamalarının çoğunun basit açıkları olduğunu söylüyor.

"Karşılaştığımız en büyük sorun insanların güvenli kodlar yazmayı bilmeden uygulama yaratmaları. Internet tarayıcısından gelen hiçbir şeye güvenmemeliler. Bu normalde her web geliştiricisinin kuralı olmalı. Ancak yine de böyle açıkları hala görüyoruz".

Bir internet sitesi XSS açığından kaynaklanan problemlere sahip olmasa bile kullanıcılarını riske atabilir.

Siber saldırganlar güvenlik açıkları olan bir internet sitesinin verilerine ulaşarak kullanıcıların diğer sitelerdeki hesaplarını çalabilirler.

Hatta saldırganlar yönetici hesaplarından birini çalarlarsa sitenin temel verilerine ulaşabilirler.

 

Kötüye kullanım

 

Munro'ya bulduğum açığı gösterdiğimde kodların üzerinden internet sitelerini kurcalamanın ne kadar yasal olduğu sorusunu gündeme getiriyor.

"Çoğu Bilgisayarı Kötüye Kullanım yasaları niyete bağlı, ancak sistem sahibi değilsen risk altındasın.”

Bu beni endişelendirdi çünkü bulduğum açıklardan biri ünlü bir kıyafet markası olan Debenhams'dı.

Munro açıkları kamuya ifşa etmenin tehlikeli olduğunu söylüyor.

Bazı şirketler uyarıları umursamıyor, bazıları önce umursamıyor ancak daha sonra açığı bulan kişiyi hacker olmakla suçluyor.

Hata avı programları yürüten internet siteleri bu suçlamaların önlenmesini sağlıyorlar.

Casey de iyi niyetli hackerların güvenlik açığı bulma hobileri sayesinde internetin daha güvenli olacağını söylüyor. "Bu yüzden bu buldukları açıkları bildirdikleri için cezalandırılmaktansa ödüllendirilmeliler".

"Onlar benim arkadaşlarım. Ben bir hacker topluluğunda büyüdüm. Onları hapisten uzak tutmak ve para kazanmalarını sağlamak istiyorum" diyor.