Bülent Ecevit Üniversitesi Bilgisayar Mühendisliği Bölümü öğrencisi Yusuf Nas (22), NASA'nın güvenlik açığını tespit etti. NASA tarafından, ''Takdir mektubu'' ile ödüllendirilen Nas’a aynı zamanda NASA’nın onur listesine de gireceği bildirildi.
02:37Çünkü karşıdaki kullanıcı ile herhangi bir etkileşime geçmem gerekmiyor benim.
02:41NASA'nın kendi kullanıcı sistemi var.
02:43Bu kullanıcı sisteminde NASA çalışanı olmayan ama NASA'nın sistemlerinde gezmek isteyen kullanıcılar burada hesap oluşturabiliyor.
02:50Bu hesapla da NASA'nın kendi etkinliklerinde başvurularda bulunabiliyor.
02:54Örnek veriyorum NASA'nın Amerika'da bir etkinliği olacak.
02:57Siz bu hesabınızı açmadan başvuramıyorsunuz.
03:00Bu hesabı açtığınızda da bu etkinliğe başvuru yapabiliyorsunuz.
03:03İşte kendi profiliniz var mesela etkinlikleri görebiliyorsunuz.
03:07Sizin profilde kendi adres bilgileriniz, telefon bilgileriniz, mail adresiniz her bilginiz olduğu için bu hesabı çalabilen kullanıcı da bu verilere erişim sağlıyor aslında.
03:17Benim zafiyetim de burada oluşuyor.
03:20NASA'nın kendi sisteminde sadece kayıt olma değil Google hesabıyla giriş yapma sistemi de var.
03:25Google'ın kendi konfigürasyon ayarında bozuk olduğu için ben sadece mail adresini bildiğim hesaba aslında giriş yapabiliyorum.
03:34Örnek veriyorum ben Yusuf'um ama Ahmet adında bir kullanıcının hesabına giriş yapabiliyorum.
03:39Bu hesabın tüm verilerini görebiliyorum.
03:42Bu da zaten veri ihlaline giriyor daha doğrusu.
03:44Ben bunu Haziran ayında NASA'nın kendisine bildirdim.
03:473 aylık bir süreçten sonra bana bir onur mektubu verdiler, takdir mektubu ve onur listesini eklediler.
03:533 aylık süreçte şöyle oluşuyor.
03:55Siz önce zafiyeti bildiriyorsunuz.
03:57Ondan sonra NASA'nın bir çalışanı bu zafiyeti inceliyor.
04:01Bu zafiyet gerçekten onaylı bir zafiyetse sizin süreciniz burada başlıyor.
04:05Bu süreçten sonra sizden ek bilgiler isteniyor.
04:08Bu zafiyeti nasıl oluşturdunuz, neler yaptınız, bu zafiyeti nasıl kapatabiliriz, bu zafiyetin etkisi nedir?
04:13Siz bunların hepsini karşı tarafa bildiriyorsunuz.
04:16Karşı taraf bazen bu zafiyetleri kapatıyor.
04:19Diyor ki kontrol eder misiniz bu zafiyet kapandı mı?
04:21Siz tekrardan aynı yöntemle test ediyorsunuz.
04:24Onlar da bunu onaylıyor ve bu raporu aslında genel olarak kapatıyorlar.
04:28Benim de sürecim 3 ay sürdü.
04:30Haziran ayının sonlarından Eylül ayının başlarına doğru işte ikinci haftasında sonuçlandı.
04:36NASA'nın sistemlerini sızdım, açıkları tespit ettim.
04:39Bu açıkları bildirdim.
04:41Onlar da bu açığın gerçekten var olduğunu kontrol etmeleri gerektiği için zaten bu süreç 3 ay sürdü.
04:46Normalde bu kadar sürmez.
04:48Hani bir haftada da bitirebilirler.
04:49Ama bu zafiyet biraz daha kritik olduğu için, veri ihlaline girdiği için her noktayı kontrol ediyorlar.
04:55Yani bu zafiyet farklı bir yerden daha tetiklenmesin.
05:00Sadece burada olduğunu kanıtlayalım.
05:02Farklı bir şekilde bu veriler çalınmasın diye.
05:05Tüm yöntemleri deniyorlar.
05:06Tüm yaz tatilim aslında böyle geçti diyebilirim.
05:09Hani stajdan çıkıyordum.
05:10Akşam tekrar rapor için bir bildirim gönderiyordum aslında.
05:13Benim için de büyük bir hayaldi.
05:16Oldu, çok mutluyum.
05:18Bu alandan da ilerleyilmeyi düşünüyorum yani.
05:20Sistemlerde zafiyet bulmaya çalışıyorum.
05:22Bug Bounty adını verdiğimiz bir program türü var aslında.
05:26Yani ödül avcılığı diyoruz biz buna.
05:28Bunu Türkiye'de yapan çok fazla insan var.
05:30Ben de bu alanda aslında ilerlemeye çalışıyorum.
05:33İlerisi için aslında Bug Bounty'nin süre gelen yeni sistemlerini ayak uydurmaya çalışıyorum.
05:39Yeni sistemler, web 3 sistemleri, kriptoloji, yapay zeka bunların güvenliği alanında biraz daha uzmanlaşmak istiyorum ki.
05:46Bu alanda başarılı olmak için sadece istemek yetmiyor.
İlk yorumu siz yapın