22 yaşındaki Türk öğrenci NASA’nın açığını buldu

Bülent Ecevit Üniversitesi Bilgisayar Mühendisliği 4’üncü sınıf öğrencisi Yusuf Nas, NASA’nın açtığı güvenlik ihlali tespit etkinliğine katıldı. 2 aylık çalışma sonucu, Nas, NASA’nın Google hesabı ile kullanıcı girişlerinde güvenlik ihlali olduğunu tespit etti. Sadece mail adresinin bilinmesiyle başka hiçbir işleme gerek kalmadan farklı bir kullanıcının hesabına geçiş yapabildiğini fark eden Nas, durumu NASA’ya rapor etti. 3 ay boyunca NASA uzmanlarına rapor yazarak destek olan Nas’ın tespit ettiği zafiyet giderildi. NASA ise Yusuf Nas’a takdir mektubu gönderdi ve isminin 'NASA Onur Listesi'ne yazılacağı bildirildi.

VERİ İHLALİ

Hedef kişinin herhangi bir tıklama yapmadan sadece mail adresi bilgisiyle hesabının çalınmasını sebep olan ‘zero click account takeover’ olarak bilinen bir zafiyet belirlediğini anlatan Yusuf Nas, "Bu zafiyet, kendi hesabınızdan başka bir hesaba geçiş yapmanızı sağlıyor. ‘Zero click’ de bu zafiyetin kritik nedenlerinden bir tanesi. ‘Zero click’ karşıdaki kullanıcının herhangi bir tıklamaya gerek kalmadan hesabının çalınması olarak değerlendiriliyor. Bu zafiyette karşıdaki kullanıcı ile herhangi bir etkileşime geçmek gerekmiyor. NASA’nın kendi kullanıcı sistemi var. Bu kullanıcı sisteminde NASA çalışanı olmayan ama NASA’nın sistemlerinde gezmek isteyen kullanıcılar, hesap oluşturabiliyor. Bu hesapla da NASA’nın etkinliklerine başvuruda bulunabiliyor. Örneğin NASA’nın Amerika’da bir etkinliği olacak, bu hesabı açmadan başvuramıyorsunuz. Bu hesabı açtığınızda da bu etkinliğe başvuru yapabiliyorsunuz. Profilinizde adres bilgileriniz, telefon bilgileriniz mail adresiniz gibi her bilginiz olduğu için bu hesabı çalabilen kullanıcı bu verilere erişim sağlıyor. Zafiyet de burada oluşuyor. NASA'nın sisteminde Google ile giriş yapma seçeneği de var. Google'ın kendi konfigürasyon ayarında bir bozukluk olduğu için ben sadece mail adresini bildiğim hesaba giriş yapabiliyorum. Örneğin ben Yusuf’um ama Ahmet adlı kullanıcının hesabına giriş yapabiliyorum. Bu hesabın tüm bilgilerini görebiliyorum. Bu da veri ihlaline giriyor” dedi.

 SÜREÇ 5 AY SÜRDÜ

Haziran ayına kadar 2 ay çalışıp açığı tespit edip bildirdiğini söyleyen Nas, "3 aylık bir süreçten sonra bana bir takdir mektubu verdiler ve onur listesine ekleyeceklerini bildirdiler. 3 aylık süreçte önce zafiyeti bildiriyorsunuz, ondan sonra NASA’nın bir çalışanı bu zafiyeti inceliyor. Bu zafiyet onaylı bir zafiyetse süreciniz burada başlıyor. Daha sonra ek bilgiler isteniyor, ‘Zafiyeti nasıl oluşturdunuz, nasıl kapatabiliriz, bu zafiyetin etkisi nedir’ gibi. Siz bunların hepsini karşı tarafa bildiriyorsunuz, karşı taraf bazen bu zafiyetleri kapatıp diyor ki, ‘Kontrol eder misiniz, zafiyet kapandı mı?’ Siz de aynı yöntemle test ediyorsunuz. Onlar da onaylayıp bu raporu genel olarak kapatıyorlar. Benim de sürecim 3 ay sürdü. Haziran sonlarından Eylül’ün 2’nci haftasında sonuçlandı" diye konuştu.

NASA’nın açtığı ilana başvurarak sistemin açıklarını aradığını belirten Nas, "NASA’nın açıklarını tespit ettim. Bu açıkları bildirdim, onlar da bu açığın gerçekten var olduğunu kontrol etmeleri gerektiği için zaten bu süreç 3 ay sürdü. Normalde bu kadar sürmez, 1 haftada da bitirebilirler ama bu zafiyet biraz daha kritik olduğu için, veri ihlaline girdiği için her noktayı kontrol ediyorlar. Bu zafiyet farklı bir yerden tetiklenmesin, sadece burada olduğunu kanıtlayalım, farklı bir şekilde bu veriler çalınmasın diye tüm yöntemleri denetliyorlar. Raporlama sürecinde onlara yardımcı olmanız gerekiyor. Benim de tüm yaz tatilim aslında böyle geçti diyebilirim. Stajdan çıkıyordum akşam tekrar rapor için bildirim gönderiyordum. Benim için de büyük bir hayaldi. Oldu, çok mutluyum" ifadelerini kullandı.

ÖDÜL AVCILIĞINA DEVAM ETMEK İSTİYOR

Web güvenliği alanı ile ilgilendiğini, firmaların açıklarını tespit edip ‘Bug bounty’ adı verilen ödül avcılığı yaptığını anlatan Nas, şöyle konuştu:

“Ödül avcılığı program türünü Türkiye’de yapan çok fazla insan var. Ben de bu alanda ilerlemeye çalışıyorum. İlerisi için ‘Bug bounty’nin yeni sistemlerine ayak uydurmaya çalışıyorum. Yeni sistemler, web3 sistemler, kriptoloji, yapay zeka, bunların güvenliği alanında biraz daha uzmanlaşmak istiyorum. Bu alanda başarılı olmak için sadece istemek yetmiyor. Sürekli çalışmak lazım ben 3 yıldır bunu bırakmıyorum."

REKTÖR ÖZÖLÇER: ÖĞRENCİLERİMİZLE İFTİHAR EDİYORUZ

Zonguldak Bülent Ecevit Üniversitesi Rektörü Prof. Dr. İsmail Hakkı Özölçer, yaptığı yazılı açıklamada, Yusuf Nas’ın başarısının sadece BEUN için değil, Türkiye adına da gurur verici olduğunu vurgulayarak, şöyle söyledi:

"Cumhuriyetimizin ilk üniversitelerinden biri olan Zonguldak Bülent Ecevit Üniversitesi, bilimsel üretim ve genç yeteneklerin yetişmesi noktasında her geçen gün daha da güçlü adımlar atmaktadır. Öğrencimiz Yusuf Nas’ın, NASA gibi dünyanın en prestijli kurumlarından birinin siber güvenlik açıklarını tespit ederek hem takdir edilmesi hem de 'Onur Listesi'ne alınması, üniversitemizin bilimsel altyapısının ve eğitim kalitesinin en somut göstergesidir. Bu duygu ve düşüncelerle başta öğrencimizi yetiştiren çok kıymetli akademisyenlerimize teşekkür ediyorum. Böylesine gurur verici bir başarıya imza atan değerli öğrencimiz Yusuf Nas’ı ise canıgönülden tebrik ediyor, çalışmalarında başarılarının devamını diliyorum."

Prof. Dr. Özölçer, açıklamasında ayrıca gençlerin teknoloji, bilişim ve savunma sanayii gibi stratejik alanlarda yetişmesinin ülkenin geleceği açısından önem taşıdığına dikkat çekerek, Yusuf Nas’ın başarısının diğer öğrencilere de ilham kaynağı olacağını belirtti.