Yarım elma gönül alma
Ulusal Siber Olaylara Müdahale Merkezi (USOM) tarafından organize edilen Siber Yıldız isimli bayrak kapma yarışı sonuçlandı. Kopya incelemesinden sonra kesin sonuçlar ilan edilecek. Böylesi bir organizasyonu üçüncü yılında da aynı coşku ve heyecanla gerçekleştiren USOM'u tebrik ediyorum. Hazırlayanların, emek verenlerin, yarışmada ter dökenlerin ellerine sağlık.
Bizim camianın terminolojisinde bu tür yarışmalar CTF olarak anılıyor. Capture The Flag kelimelerinin baş harflerinden müteşekkil bir kısaltma bu. Hackerler bireysel ya da grup olarak bir dizi problemi çözüp, soruların ardına gizlenen bayrakları (flag) bularak puan topluyorlar. Bittabii ki en yüksek puanı hilesiz, hurdasız toplayan yarışmanın galibi oluyor.
Bu yarışmalar "Galiptir bu yolda mağlub" denilecek cinsten fevkalade öğretici. Yarışmalardan sonra yayınlanan write-up'ları yani bu yarışmalarda soruları çözen kişilerin, soru çözümünde kullandıkları yöntemleri anlattıkları yazıları okuması bir o kadar zevkli. Bu işin ülkemizde giderek yaygınlaşmasından, ülkemizdeki gençlerin ulusal ve uluslararası yarışmalardan aldığı başarılardan fevkalade memnuniyet duyuyorum.
Siber Yıldız yarışması 2017'de ilk kez yapıldığında büyük heyecan uyandırmış, yeteneklerini ispat eden gençler için mezuniyet şartı aranmaksızın bir istihdam fırsatı olmuştu.
Bu yıl da birinciye 10, ikinciye 5 ve üçüncüye 3 adet Cumhuriyet Altını olmak üzere takdim edilecek ödüllerin yanı sıra bizzat Ulaştırma ve Altyapı Bakan Yardımcısı Ömer Fatih Sayan'ın duyurduğu üzere ilk 100'e girenler de Fetih Siber Talimhane'ye girme şansı yakalayacaklar. Ayrıca bakan yardımcısı Sayan, başarılı olanların istihdam imkanına kavuşacağının müjdesini de verdi.
Ülkemiz, bu alanda genç yeteneklere sahip olduğu şanslı bir ülke. Siber güvenlik sahasını takip edenler ülkemiz gençlerinin hem geliştirdikleri ürünler ile, hem de uluslararası ürün ve hizmetlerde keşfettikleri zafiyetlerle sık sık uluslararası basında gündem olduğu farkedecektir.
Bu örneklerden sonuncusu iCloud servisinde bulduğu zafiyeti geçtiğimiz yılın Kasım ayında Apple'a bildiren Melih Sevim.
Melih Sevim'in bulgusundan benim de üye olduğum bir siber güvenlik e-posta grubuna (NetsecTR) gönderdiği eposta vasıtası ile haberdar oldum. Kendisine derhal bir e-posta gönderip olayın ayrıntılarını rica ettim. Sağ olsun aynı gün içerisinde paylaştı.
Sevim, iCloud servisinde Kasım ayında bir zafiyet bulduğunu. iCloud kullanıcılarının telefon numaralarını kullanarak Notlar (Notes) servisine kaydedilmiş tüm gönderilere erişebildiğini belirtiyordu. Sevim'in ifadesine göre zafiyetin bildirildiği ilk günlerde Apple'dan olumlu yanıtlar almasına rağmen, zafiyetin giderilmesine dair ipuçlarına verdikten sonra yine kendi tabiriyle Apple'ın bu sıcak ve samimi tavrından 180 derecelik bir dönüş yaşanıyor. Kendisinin yok sayıldığını belirtiyor.
Zafiyete kısaca değinecek olursak, Apple cihazların ayarlar menüsünden iCloud fatura bilgilerinden telefon numarasını dilediğiniz kişinin telefon numarası ile değiştirip, bu kişinin notlarına erişebiliyorsunuz. (Durun, hemen denemeye kalkışmayın, zafiyet onarıldı.)
Melih Sevim'in kanıt olarak kaydettiği 18 dakikalık videoda Japonya'dan, Amerika'dan, Arap coğrafyasından rastgele bir biçimde ulaştığı kullanıcıların datalarına erişim elde edilebildiği görülüyor.
Notlar uygulamasını kimi kullanıcı alelade notlarını kayıt etmek için kullanırken, kimi kredi kartı numaralarını, kimi de hediye kupon bilgilerini kaydetmiş.
Ağustos 2018 itibariyle 1 trilyon dolarlık bir hacme ulaşan Apple gibi bir firma için, böylesi bulguları ve halisane niyeti ödüllendirmek zor olmasa gerek. Fakat sadece Apple değil, aynı kalibredeki başka bir dizi firma da kendilerine bildirilen zafiyetlerden sonra kulaklarının üzerine yatmayı tercih ediyor. Ödül dediysek, çoğunlukla gençlerin muradı para olsa da Hall of Fame denilen onur listelerine adlarını ekleyerek, promosyon ürünleri gönderek bu gençlerin gururları pek tabii okşanabilir. Yarım elma, gönül alma misali...
Firmaların bu menfi tavırları maalesef iki şekilde sonuçlanıyor. Bunlardan olumsuz olanı bu tarz zaifyetleri keşfeden yetenekli kişiler firmalara bildirimde bulunmak yerine, henüz üreticisinin dahi haberdar olmadığı bu "sıfırıncı gün" (ZeroDay) zafiyetlerini yeraltı forumlarında satmayı yahut Vulnerability Broker dediğimiz kişiler üzerinden "okutmayı" tercih ediyor.
Daha iyi seçenekler yok mu? Evet var! Örneğin zafiyet tespit eden kişiler ile ürün ve hizmet sahiplerini buluşturarak, bir tür aracılık hizmeti yapan kurumlar da mevcut. Hackerone ve Bug Crowd bunlardan en bilinenleri. Ülkemizde de Milli Hacker, GAIS (Güvenlik Açığı İstihbarat Servisi) gibi oluşumlar bu ihtiyaca yönelik çalışmalarını sürdürüyor.
Bu firmalar zafiyet bildirimlerinde, bildirimin gerçekten bir zafiyete delalet edip etmediğinden tutun, risk değerlendirmesine kadar pek çok işi gerçekleştirip firmalara en doğru bulguları sunuyorlar. Diğer taraftan da bu bulgular için zaman ayırmış, emek vermiş araştırmacıların da belirli kapsam ve kurallar çerçevesinde ödüllerini (Bounty) almalarına yardımcı oluyorlar.
Apple gibi firmalar, araştırmacıları küstürmekle hiç iyi bir iş yapmıyorlar. Melih Sevim'in haberi Türkiye'de pek yankı bulmasa da The Hacker News, The Sun ve Daily Mail gibi uluslararası basında yer aldı. Bu haberleri okuyan gençler, bir sonraki bulgularında firmaları bilgilendirmek yerine farklı kapılar çalarsa onlara kızmayın.
Gençler diyorum ya, bunu da yabana atmayın. Apple'ın FaceTime uygulamasındaki zafiyeti geçtiğimiz hafta 14 yaşında bir genç bulmuştu.