Daha önce bu konuyu hararetli bir şekilde NetSec’de tartışmıştık ve genel itibariyle bulanın niyetine bakılmaksızın yaptığı işin kötü olduğunu bildirir gerekirse adli mercilere başvururum gibi bir sonuç çıkmıştı.

Ben hem kendim hem de şirketim için benzeri durumda kalsam(ara ara kalıyorum) önce arkadaşa sorumlu davranışından ötürü teşekkür eder, sonra arkadaşın işlem yaptığı saatlerdeki loglarına bakıp sisteminde neleri kurcalamış detaylı çıkarır ve eğer gerçekten sistemimi kurcalamışsa teşekkürden sonra yaptığının suç olduğunu referanslarıyla birlikte iletirim.

Geçtiğimiz hafta bir arkadaş bankaların birinin captcha korumasını aştığını ve bunu bankaya bildirdiğini iletmişti. Ben genel yaklaşımı az çok bildiğim için umutlanma cevap dönmezler, ya da başına iş alırsın bildirme demiştim ama bankadan gelen cevap beni utandıracak cinstendi.

Merhaba,

Sayfamızda kullanılan captcha üzerine bir çalışma yaptığınızı öğrendik.
Bu konu üzerinde araştırmalarımızı yapıyoruz. Size birkaç soru sormak isteriz .

Çalışmanızı yaparken hangi OCR kütüphanelerini kullandınız?
Herhangi bir sakıncası yoksa yazdığınız programınızı bizimle paylaşabilir misiniz?

Hassasiyetiniz ve bilgilendirmeniz için teşekkür ederiz.

İyi çalışmalar

Evet takdir edilesi bir yaklaşım ama burada dikkat edilmesi gereken husus açığı bildiren arkadaşın üslübu ve olaya yaklaşımıdır. Aynı açıklığı şu şekilde bildirseydi herhalde dönecek cevap da çok farklı olurdu “Hey X bankasının kendisini güvenlikci zanneden adminleri  ne bicim koruma sistemleriniz var daha musterilerinizi  basit açıklıklardan koruyamiyorsunuz vs vs vs ”

Bir de dikkat edilmesi gereken diger husus bu captcha zaafiyetinin karşı sistem üzerinde herhangi bir deneme gerektirmemesi. Yani hedef sistem üzerinde normal kullanıcıdan farklı ek kurcalama yapılmıyor. Eğer açıklık bir captcha zaafiyeti değil de SQLi olsaydı bence bu kadar kibar davranılmaması gerekirdi.

Bir yandan da güvenliği hiçe sayan şirketlerin anca bu şekilde bildirimlerle konuyu gündemlerine aldığını düşünürsek resmi dille kınasam da içimden kızamıyorum:). Benzeri bir örneği hizmet aldığım bir firmada yaşıyorum, sayfada login olurken yanlış bir karekter girmemle birlikte dönen hatadan sistemde sqli olabileceğini düşünmüştüm.

Şimdi uzun zamandır  bu açıklığı dikkate almayan firma benim tüm bilgilerimi tehlikeye atmakla sorumlu mu davranmış oluyor? Ya da Türkiye’nin en büyük domain satım firmalarından birinin hala kullanıcı hesaplarını şifrelemeden saklamasını nasıl bir sorumlulukla açıklayabiliriz ki?

The post Sisteminizde güvenlik açığı buldum, bu da kanıtım! first appeared on Complexity is the enemy of Security.