Sisteminizde güvenlik açığı buldum, bu da kanıtım!

Soru şu: Sisteminizde güvenlik açığı bulan ve bunu size iletenlere cevabınız ne/nasıl olurdu?

Daha önce bu konuyu hararetli bir şekilde NetSec’de tartışmıştık ve genel itibariyle bulanın niyetine bakılmaksızın yaptığı işin kötü olduğunu bildirir gerekirse adli mercilere başvururum gibi bir sonuç çıkmıştı.

Ben hem kendim hem de şirketim için benzeri durumda kalsam(ara ara kalıyorum) önce arkadaşa sorumlu davranışından ötürü teşekkür eder, sonra arkadaşın işlem yaptığı saatlerdeki loglarına bakıp sisteminde neleri kurcalamış detaylı çıkarır ve eğer gerçekten sistemimi kurcalamışsa teşekkürden sonra yaptığının suç olduğunu referanslarıyla birlikte iletirim.

Geçtiğimiz hafta bir arkadaş bankaların birinin captcha korumasını aştığını ve bunu bankaya bildirdiğini iletmişti. Ben genel yaklaşımı az çok bildiğim için umutlanma cevap dönmezler, ya da başına iş alırsın bildirme demiştim ama bankadan gelen cevap beni utandıracak cinstendi.

Merhaba,

Sayfamızda kullanılan captcha üzerine bir çalışma yaptığınızı öğrendik.
Bu konu üzerinde araştırmalarımızı yapıyoruz. Size birkaç soru sormak isteriz .

Çalışmanızı yaparken hangi OCR kütüphanelerini kullandınız?
Herhangi bir sakıncası yoksa yazdığınız programınızı bizimle paylaşabilir misiniz?

Hassasiyetiniz ve bilgilendirmeniz için teşekkür ederiz.

İyi çalışmalar

Evet takdir edilesi bir yaklaşım ama burada dikkat edilmesi gereken husus açığı bildiren arkadaşın üslübu ve olaya yaklaşımıdır. Aynı açıklığı şu şekilde bildirseydi herhalde dönecek cevap da çok farklı olurdu “Hey X bankasının kendisini güvenlikci zanneden adminleri  ne bicim koruma sistemleriniz var daha musterilerinizi  basit açıklıklardan koruyamiyorsunuz vs vs vs

Bir de dikkat edilmesi gereken diger husus bu captcha zaafiyetinin karşı sistem üzerinde herhangi bir deneme gerektirmemesi. Yani hedef sistem üzerinde normal kullanıcıdan farklı ek kurcalama yapılmıyor. Eğer açıklık bir captcha zaafiyeti değil de SQLi olsaydı bence bu kadar kibar davranılmaması gerekirdi.

Bir yandan da güvenliği hiçe sayan şirketlerin anca bu şekilde bildirimlerle konuyu gündemlerine aldığını düşünürsek resmi dille kınasam da içimden kızamıyorum:). Benzeri bir örneği hizmet aldığım bir firmada yaşıyorum, sayfada login olurken yanlış bir karekter girmemle birlikte dönen hatadan sistemde sqli olabileceğini düşünmüştüm.

Şimdi uzun zamandır  bu açıklığı dikkate almayan firma benim tüm bilgilerimi tehlikeye atmakla sorumlu mu davranmış oluyor? Ya da Türkiye’nin en büyük domain satım firmalarından birinin hala kullanıcı hesaplarını şifrelemeden saklamasını nasıl bir sorumlulukla açıklayabiliriz ki?

This entry was posted in System Security, Web Security and tagged . Bookmark the permalink.

5 Responses to Sisteminizde güvenlik açığı buldum, bu da kanıtım!

  1. Ayberk says:

    Bankanın lütfedip geri dönmesi mucize.Daha önce çevremde bu durumu banka yetkililerine bildirenler genelde geri dönüş almazlardı.
    Ancak şu konuyu anlayamıyorum;
    Sistemde güvenlik açığı bulup bilgilendiren kişi neden bu bilgiyi yetkililerle paylaştığında zan altında kalabiliyor.
    Sonuçta bir çoğumuzun içinde dizginleyemediğimiz merak var ve bu merak küçükten başlayıp büyük sistemlerdeki açıkları saptamaya kadar gidiyor.
    Bir bankada Sql açığı bulmak ama bu açığı sömürmek yerine banka yetkililerine bildirmek suç olmamalı. Bunu örneklendirirsek, kilidini düzgün kitlenemeyen bir dükkanın kilidini düzgün kitlememişsin bak açılır böyle diyerek uyarmak “haysiyetlice” bir davranış olarak nitelendirilip taktir edilmeli diye düşünüyorum.

  2. Huzeyfe ONAL says:

    Aslında işin bu kısmı hukukun alanına giriyor, sonucu suc olabilecek bir olayda niyetinizin iyi olması bizim acimizdan onemlidir ama hukuk acisindan pek de onemli degildir diye dusunuyorum. İyi niyetli bildiren arkadasin oradan faydalanip faydalanmayacagini kimse bilemez. Evet teknik acidan bakarsak merakimizi yenemedik deriz ama bu bir suctur aynı zamanda.

  3. Murat Çimen says:

    Selamlar,

    Bu tür tartışmalarda öncelikle olayın parçalarını tespit etmek gerekir. Bu olayda görünen o ki

    1* açık bulunmuş
    2* haber verilmiş.

    Etik olarak, durumu farkeden arkadaş bulduğu açıktan yararlanmadığı sürece suç işlemiş sayılmaz, bilgilendirdiği için de teşekkür edilir.

    Hukuki açıdan da durum şöyledir, eğer kişi sizin web siteniz üzerinde umuma açık bir alandaki bir hatanın farkına varır ve bildirse sorun olmaz, yeterki durumda yararlanmasın!

    web sitesinin arka yüzüne geçmek (veritabanı üzerinde) ise suç teşkil eder.

    Kısaca şöyle özetleyeyim, evinizin kapsını açık bırakırsanız, bunu görüp size bildiren adam Suç İŞLEMEMİŞ olur. Ancak evinizin kapısı KİLİTLİYKEN girip içerdeki odaların kapılarını kontrol ettiyse o zaman suç işlemiş olur.

    Ayrıca, bu işi yapan şirketler varken, durumdan vazife çıkaran arkadaşların başına iş gelmesi mümkündür.

    Bu durumun genellikle, “açık buldum, sizden iyiyim” kompleksi veya “açık buldum, beni ödüllendirin” gibi temellere dayandığını düşünüyorum.

  4. Ayberk says:

    Sanırım en iyisi buldukmu susalım 🙂

  5. zapatov says:

    açığı bulan arkadaş bu olayda beyaz değil gri şapka olmuş (:

Leave a Reply

Your email address will not be published. Required fields are marked *

five × five =