Bülent Ecevit Üniversitesi Bilgisayar Mühendisli?i 4'üncü s?n?f ö?rencisi Yusuf Nas, NASA'n?n açt??? güvenlik ihlali tespit etkinli?ine kat?ld?. 2 ayl?k çal??ma sonucu, Nas, NASA'n?n Google hesab? ile kullan?c? giri?lerinde güvenlik ihlali oldu?unu tespit etti. Sadece mail adresinin bilinmesiyle ba?ka hiçbir i?leme gerek kalmadan farkl? bir kullan?c?n?n hesab?na geçi? yapabildi?ini fark eden Nas, durumu NASA'ya rapor etti. 3 ay boyunca NASA uzmanlar?na rapor yazarak destek olan Nas'?n tespit etti?i zafiyet giderildi. NASA ise Yusuf Nas'a takdir mektubu gönderdi ve isminin 'NASA Onur Listesi'ne yaz?laca?? bildirildi.

?lginizi ÇekebilirVER? ?HLAL?

Hedef ki?inin herhangi bir t?klama yapmadan sadece mail adresi bilgisiyle hesab?n?n çal?nmas?n? sebep olan 'zero click account takeover' olarak bilinen bir zafiyet belirledi?ini anlatan Yusuf Nas, "Bu zafiyet, kendi hesab?n?zdan ba?ka bir hesaba geçi? yapman?z? sa?l?yor. 'Zero click' de bu zafiyetin kritik nedenlerinden bir tanesi. 'Zero click' kar??daki kullan?c?n?n herhangi bir t?klamaya gerek kalmadan hesab?n?n çal?nmas? olarak de?erlendiriliyor. Bu zafiyette kar??daki kullan?c? ile herhangi bir etkile?ime geçmek gerekmiyor. NASA'n?n kendi kullan?c? sistemi var. Bu kullan?c? sisteminde NASA çal??an? olmayan ama NASA'n?n sistemlerinde gezmek isteyen kullan?c?lar, hesap olu?turabiliyor. Bu hesapla da NASA'n?n etkinliklerine ba?vuruda bulunabiliyor. Örne?in NASA'n?n Amerika'da bir etkinli?i olacak, bu hesab? açmadan ba?vuram?yorsunuz. Bu hesab? açt???n?zda da bu etkinli?e ba?vuru yapabiliyorsunuz. Profilinizde adres bilgileriniz, telefon bilgileriniz mail adresiniz gibi her bilginiz oldu?u için bu hesab? çalabilen kullan?c? bu verilere eri?im sa?l?yor. Zafiyet de burada olu?uyor. NASA'n?n sisteminde Google ile giri? yapma seçene?i de var. Google'?n kendi konfigürasyon ayar?nda bir bozukluk oldu?u için ben sadece mail adresini bildi?im hesaba giri? yapabiliyorum. Örne?in ben Yusuf'um ama Ahmet adl? kullan?c?n?n hesab?na giri? yapabiliyorum. Bu hesab?n tüm bilgilerini görebiliyorum. Bu da veri ihlaline giriyor" dedi.

Tapuda vekalet oyunu: 50 milyon TL'lik gayrimenkulü satacaklard?! Uzmanlardan 'tapunuzu kilitleyin' uyar?s?

SÜREÇ 5 AY SÜRDÜ

Haziran ay?na kadar 2 ay çal???p aç??? tespit edip bildirdi?ini söyleyen Nas, "3 ayl?k bir süreçten sonra bana bir takdir mektubu verdiler ve onur listesine ekleyeceklerini bildirdiler. 3 ayl?k süreçte önce zafiyeti bildiriyorsunuz, ondan sonra NASA'n?n bir çal??an? bu zafiyeti inceliyor. Bu zafiyet onayl? bir zafiyetse süreciniz burada ba?l?yor. Daha sonra ek bilgiler isteniyor, 'Zafiyeti nas?l olu?turdunuz, nas?l kapatabiliriz, bu zafiyetin etkisi nedir' gibi. Siz bunlar?n hepsini kar?? tarafa bildiriyorsunuz, kar?? taraf bazen bu zafiyetleri kapat?p diyor ki, 'Kontrol eder misiniz, zafiyet kapand? m??' Siz de ayn? yöntemle test ediyorsunuz. Onlar da onaylay?p bu raporu genel olarak kapat?yorlar. Benim de sürecim 3 ay sürdü. Haziran sonlar?ndan Eylül'ün 2'nci haftas?nda sonuçland?" diye konu?tu.

100 metre aç?kta fark etti! Bal?k tutmaya ç?kt?, gözlerine inanamad?NASA'n?n açt??? ilana ba?vurarak sistemin aç?klar?n? arad???n? belirten Nas, "NASA'n?n aç?klar?n? tespit ettim. Bu aç?klar? bildirdim, onlar da bu aç???n gerçekten var oldu?unu kontrol etmeleri gerekti?i için zaten bu süreç 3 ay sürdü. Normalde bu kadar sürmez, 1 haftada da bitirebilirler ama bu zafiyet biraz daha kritik oldu?u için, veri ihlaline girdi?i için her noktay? kontrol ediyorlar. Bu zafiyet farkl? bir yerden tetiklenmesin, sadece burada oldu?unu kan?tlayal?m, farkl? bir ?ekilde bu veriler çal?nmas?n diye tüm yöntemleri denetliyorlar. Raporlama sürecinde onlara yard?mc? olman?z gerekiyor. Benim de tüm yaz tatilim asl?nda böyle geçti diyebilirim. Stajdan ç?k?yordum ak?am tekrar rapor için bildirim gönderiyordum. Benim için de büyük bir hayaldi. Oldu, çok mutluyum" ifadelerini kulland?.

ÖDÜL AVCILI?INA DEVAM ETMEK ?ST?YOR

Web güvenli?i alan? ile ilgilendi?ini, firmalar?n aç?klar?n? tespit edip 'Bug bounty' ad? verilen ödül avc?l??? yapt???n? anlatan Nas, ?öyle konu?tu:

"Ödül avc?l??? program türünü Türkiye'de yapan çok fazla insan var. Ben de bu alanda ilerlemeye çal???yorum. ?lerisi için 'Bug bounty'nin yeni sistemlerine ayak uydurmaya çal???yorum. Yeni sistemler, web3 sistemler, kriptoloji, yapay zeka, bunlar?n güvenli?i alan?nda biraz daha uzmanla?mak istiyorum. Bu alanda ba?ar?l? olmak için sadece istemek yetmiyor. Sürekli çal??mak laz?m ben 3 y?ld?r bunu b?rakm?yorum."

'Sütü kokar' dediler, Merinos sürüsüyle talebe yeti?emiyor! 2 y?lda her ?ey de?i?tiREKTÖR ÖZÖLÇER: Ö?RENC?LER?M?ZLE ?FT?HAR ED?YORUZ

Zonguldak Bülent Ecevit Üniversitesi Rektörü Prof. Dr. ?smail Hakk? Özölçer, yapt??? yaz?l? aç?klamada, Yusuf Nas'?n ba?ar?s?n?n sadece BEUN için de?il, Türkiye ad?na da gurur verici oldu?unu vurgulayarak, ?öyle söyledi:

"Cumhuriyetimizin ilk üniversitelerinden biri olan Zonguldak Bülent Ecevit Üniversitesi, bilimsel üretim ve genç yeteneklerin yeti?mesi noktas?nda her geçen gün daha da güçlü ad?mlar atmaktad?r. Ö?rencimiz Yusuf Nas'?n, NASA gibi dünyan?n en prestijli kurumlar?ndan birinin siber güvenlik aç?klar?n? tespit ederek hem takdir edilmesi hem de 'Onur Listesi'ne al?nmas?, üniversitemizin bilimsel altyap?s?n?n ve e?itim kalitesinin en somut göstergesidir. Bu duygu ve dü?üncelerle ba?ta ö?rencimizi yeti?tiren çok k?ymetli akademisyenlerimize te?ekkür ediyorum. Böylesine gurur verici bir ba?ar?ya imza atan de?erli ö?rencimiz Yusuf Nas'? ise can?gönülden tebrik ediyor, çal??malar?nda ba?ar?lar?n?n devam?n? diliyorum."

Prof. Dr. Özölçer, aç?klamas?nda ayr?ca gençlerin teknoloji, bili?im ve savunma sanayii gibi stratejik alanlarda yeti?mesinin ülkenin gelece?i aç?s?ndan önem ta??d???na dikkat çekerek, Yusuf Nas'?n ba?ar?s?n?n di?er ö?rencilere de ilham kayna?? olaca??n? belirtti.

Gayrimenkul çetesi çökertildi! 451 ki?i vatanda?l?ktan at?ld?
Kaynak ; Milliyet