Zonguldak Bülent Ecevit Üniversitesi (BEUN) Bilgisayar Mühendisliği Bölümü Öğrencisi Yusuf Nas (22), NASA'nın kullanıcı sisteminde kritik bir güvenlik zafiyeti tespit edip kapatılmasına katkı sağlaması üzerine takdir mektubu ile ödüllendirilerek onur listesine dahil edildi.
Zonguldak Bülent Ecevit Üniversitesi (BEUN) Bilgisayar Mühendisliği 4'üncü sınıf öğrencisi Yusuf Nas, NASA'nın düzenlediği güvenlik ihlali tespit etkinliğine katıldı. İki aylık çalışmanın ardından Nas, sadece e-posta adresiyle, herhangi bir işlem yapılmadan farklı bir kullanıcı hesabının devralınabildiğini tespit etti. Nas, durumu detaylı NASA'ya bildirdi. Üç ay boyunca NASA uzmanlarıyla birlikte çalışarak zafiyetin kapatılmasına katkı sağladı. NASA, Yusuf Nas'a takdir mektubu gönderdi ve ismini onur listesine ekledi.
"Hesap devralma zafiyeti tespit ettim"
Nas, bulduğu açığın teknik detaylarını paylaşarak sürecin önemini vurguladı. Tespit ettiği zafiyetin, kullanıcıların hesaplarına hiçbir etkileşim olmadan erişim sağlanmasına neden olduğunu belirtti. Herhangi bir tıklamaya gerek kalmadan NASA'nın sistemine kayıtlı kullanıcının hesabının ele geçirilebildiğini anlatan Nas, "Yaklaşık 3 yıldır siber güvenlikle ilgileniyorum. Bu alanda kendimi geliştiriyorum. Yakın zamanda NASA'nın sistemlerinde de zafiyet buldum. Bu zafiyet şöyle bir zafiyet. Siz kendi hesabınızdan farklı hesaplara geçiş yapabiliyorsunuz. Biz de buna account takeover olarak nitelendiriyoruz. Sizin bir hesabınız var diyelim farklı hesaplara erişiminiz yok farklı hesaplara erişiminiz olmasını sağlıyor yani aslında farklı hesabı devralmak diyebiliriz aslında biz buna. Şöyle oluşuyor. Zero click adını verdiğimiz bir zafiyet türü var. Bu zafiyet türü karşı tarafın herhangi bir tıklamaya gerek kalmadan hesabının ele geçirilmesi anlamına geliyor. Bazen SMS gelir, zararlı linkler gelir, bunları tıkladığınızda bazı verileriniz çalınır. Bunlar zero click değildir mesela. Bunlar bir tıklamaya ihtiyaç duyar. Ama benim bulduğum zafiyette karşı tarafın hiçbir şekilde tıklamasına gerek kalmadan hesap devralma zafiyetiydi. Bu zaten bu yüzden kritik bir zafiyet olarak nitelendirildi" dedi.
NASA ile yürütülen süreç üç ay sürdü
Nas, NASA'ya Haziran ayında gönderdiği raporun ardından üç ay boyunca uzmanlarla iletişimde kaldı. Zafiyetin kapatılması için teknik destek sundu ve süreci birlikte yönetti. Nas, "NASA'nın şöyle bir de politikası var. Eğer zafiyet bulup bunu bize bildirirseniz ve geçerli bir zafiyetse biz size ödül veriyoruz diyor. Şöyle bir süreç işledi. Ben bu zafiyeti buldum. Uzun süredir zaten bu alanla ilgileniyordum. NASA'ya bunu bildirdim. Haziran ayında bu raporu gönderdim. NASA bu raporu inceledi ve geçerli bir zafiyet olabileceğine karar verdi. Ben de yaklaşık 3 aylık süren süreçte NASA'ya ek bilgiler gönderdim. Kendi istedikleri doğrultuda çalışmalar yaptım. NASA'nın zafiyet kapatma aşamasına aslında yardım ettim diyebiliriz" diye konuştu.
NASA sistemine kayıtlı kullanıcıların verileri risk altında kaldı
Nas'ın tespit ettiği açık, kullanıcıların kişisel bilgilerine erişim sağlanmasına imkan tanıdı. NASA'nın etkinlik sistemine kayıtlı kullanıcıların ev adresi, telefon numarası gibi hassas verileri bu açık nedeniyle tehlikeye girdi. Nas, süreci şöyle aktardı:
"Zafiyeti gönderiyorsunuz. Nasıl kapatılacağını anlatıyorsunuz. NASA'da bu yönergeye göre size eğer gerçekten başarılı bir şekilde bu süreç tamamlarsanız bir onur belgesi veriyor. Bir de onur listesine ekliyor. Ben de bunları almaya hak kazanıyorum. NASA'nın sistemlerinde bir kullanıcı girişi var. NASA bu kullanıcılara kendi etkinliklerine katılma fırsatı veriyor. Siz eğer NASA'nın çalışanı değilseniz sisteme kayıt yapmanız lazım. Bu kullanıcılar sisteme giriş yaparken de ev adresi, ad, soy ad, telefon numarası gibi hassas veriler olarak adlandırdığımız verileri kaydediyor aslında. Benim bu zafiyetimde farklı bir hesabı devralmaya yönelik olduğu için farklı kullanıcıların istediğim kullanıcının aslında ev adresi olsun, telefon numarası olsun bunları ele geçirmeme olarak sağlıyordu. Veri ihlali sınıfına girdiği için de NASA bunu biraz ciddiye aldı ve bu süreci beraber yönettik. Üç aylık süreçte kendilerine verdiğim bilgiler işte mesela zafiyeti kapattık diyorlar ama ben tekrar inceliyorum kapanmamış. Farklı bir şekilde tetiklenebiliyor. Ben bunu tekrar söylüyorum. Bu sefer farklı bir yöntem izliyorlar. Bu süreç bu yüzden 3 ay sürdü. Bazen 3 ay sürmeyebiliyor. Sonunda gerçekten böyle bir zafiyet oldu."
