Diğer adıyla Crowdsource korsanı Sebastian Neef’i tespit edin Kıyılmışetik hackleme konusunda ilham verici bir geçmişe sahiptir. Merak, dostça rekabet duygusu ve başkaları için iyilik yapma arzusuyla hareket ederek, etik bir hacker ve siber güvenlik uzmanı olarak başarılı bir kariyer inşa etti.
Son zamanlarda Crowdsource Ödüllerini Tespit EdinGehaxelt, sürekli yardım etme isteğinin, harika tavrının ve dahili kanallarımızdaki proaktif faaliyetinin takdir edildiği Muhteşem Geri Bildirimci ödülünün sahibi oldu.
Gehaxelt, kariyer yoluna nasıl başladığını, mevcut kaynak ve araçlarından bazılarını ve becerilerini geliştirmek isteyen etik bilgisayar korsanları için değerli tavsiyeleri paylaşırken okumaya devam edin.
Detectify: Etik bilgisayar korsanlığına ilk kez nasıl ilgi duymaya başladınız ve bunu kariyer olarak sürdürmeniz için size ne ilham verdi?
Kıyılmış: Sekiz yaşımdayken ilk bilgisayarımı aldım. O zamanlar sadece 2D bilgisayar oyunlarıyla oynuyordum. Babam bana düz HTML ve CSS kullanarak basit web sitelerinin nasıl oluşturulacağını 14 yaşıma gelene kadar göstermedi. Çok heyecanlandım ve bu konuda daha fazlasını öğrenmek için motive oldum. Bir noktada yavaş yavaş oynadığım oyunlar için otomasyon botları yazmaya dönüştü. Bunun bilgisayar korsanlığı olduğu düşünülmeyebilir ama kalıpların dışında düşünmeye başlamama yardımcı oldu.
İki yıl sonra liseyi bitirirken Anonymous’un kötü şöhretli hack’leri tüm ana akım medyada yer aldı. O zamanlar kendime şu soruyu sordum: “(Web sitelerini) hacklemek gerçekten O kolay mı, yoksa bu bilgisayar korsanları gerçekten yetenekli mi?” Bunu öğrenmek için araştırmaya başladım ve birçok akşamı internette gezinerek web güvenliği ve çeşitli hackleme teknikleri hakkında bilgi edinerek geçirdim.
Ve eğer birkaç numara biliyorsanız bilgisayar korsanlığının gerçekten kolay olabileceği ortaya çıktı. En azından o zamanlar (2010 civarı), birçok web çerçevesi, web geliştiricisi ve sistem yöneticisi güvenlik konusunda bugünkü kadar bilinçli değildi; dolayısıyla SQL Injection, siteler arası komut dosyası çalıştırma (XSS) ve diğerleri gibi klasik güvenlik açıkları zahmetsizce bulundu.
Sorumlu açıklama ve hata ödül programlarıyla ilk kez 2011/2012 civarında karşılaştım ve bu benim için harika bir fırsat sundu: Becerilerimi ve bilgimi yalnızca bazı simüle edilmiş hedeflere karşı değil, gerçek dünyadaki hedeflere karşı yasal olarak test edebilmek hack zorlukları. Kesinlikle yeterli, rapor etmeye değer sorunlar bulmaya başladım ve beni birkaç soruna yerleştirdim. şöhret salonları (Google, PayPal ve Twitter’ınkiler dahil). Bu harika bir duyguydu ve birkaç program karşılığında hediye veya para dağıttı, bu da güzel bir motivasyon artışıydı. Özellikle yakında öğrenci olacak biri olarak, keyif aldığım şeyi yaparak ekstra para kazanmak harikaydı.
O yıllarda bilgisayar korsanlığı yaparken, genellikle web sitesinin geliştiricileri ile benim aramda bir “meydan okuma” olduğunu hayal ederdim; başka bir deyişle, benim hackleyemeyeceğim bir kod yazabilirler mi? Onlardan daha iyi olabilir miyim? Çoğu zaman bu soruların cevabı evetti ve bunun sonucunda ortaya çıkan adrenalin artışı gerisini halletti. 😉
“Sorumlu açıklama ve hata ödül programları benim için harika bir fırsat sundu: Becerilerimi ve bilgilerimi gerçek dünyadaki hedeflere karşı yasal olarak test edebilmek.”
Ancak bunu tek başına yapmak bazen sıkıcı olabiliyor. Şans eseri, Twitter’da ve çeşitli çevrimiçi sohbet gruplarında hata ödülü toplulukları oluşmaya başladı, bu yüzden bu kanalları kullanarak başkalarıyla yazılar, teknikler ve fikirler alışverişinde bulunmaya başladım. Zorlu bir rekabet olmasına rağmen olumlu bir geri bildirim döngüsü vardı ve işbirliği yapmak da eğlenceliydi.
Sonuçta şirketlerin web sitelerini daha güvenli hale getirmelerine ve böylece müşteri verilerinin çalınmasını önlemelerine yardımcı oluyorduk.
Detectify: Etik bir bilgisayar korsanı olarak çalışmanızın hem yasal hem de etik olmasını sağlamak için hangi adımları atıyorsunuz?
Kıyılmış: Ne yazık ki sık sık ziyaret ettiğim web sitelerinin hepsinin sorumlu bir açıklama veya hata ödül programı yoktu, bu yüzden 2012’de projeyi kurdum internetwache.org. Projenin arkasındaki ana fikir, güvenlik bilincine sahip şirketlerin veya web sitesi yöneticilerinin güvenlik açığı bildirimlerime ne kadar az tepki vereceğini görmekti. Ayrıca hizmeti sıklıkla kendim kullandığım için verilerimin kötü niyetli kişilere karşı korunmasını istedim.
Almanya’da izinsiz güvenlik testlerini yasaklayan “hack yasaları” olduğundan ve “[email protected]” adresinden e-posta göndermenin beni hızla hapse attıracağını varsaydığımdan, niyetim hakkında daha net olmam gerekiyordu. Dolayısıyla projenin alanı ve web sitesi benim iyi ve etik niyetimi aktarmayı amaçlıyordu. Bu site, kim olduğumu ve testlerimle yalnızca şirketlerin güvenlik duruşlarını iyileştirmelerine yardımcı olmaya çalıştığımı ayrıntılı olarak açıklamak için kuruldu: Yalnızca güvenlik açığı belirtileri için test yapıyorum, hiçbir şeyi istismar etmiyorum veya görmemem gereken şeylere yönelmiyorum.
Yasal açıdan bakıldığında, mahkeme önünde niyet hiçbir şeyi değiştirmemiş olabilir, ancak ben hâlâ ergenlik çağındaydım ve biraz saftım, dolayısıyla kimsenin onlara yardım etmeye çalışan birini dava etmeyeceğine inanıyordum. Ancak tekrarlamak gerekirse: Hiçbir zaman bir güvenlik açığından yararlanmaya çalışmadım; bunun yerine sadece belirtileri aradım (örn. parametreleri değiştirirken SQL hata mesajı/sayfa davranışı, bazı etiketleri girerken bozuk HTML, vb.). Ayrıca gönderdiğim e-postaların her zaman dostane bir üslupla olmasına ve karşılığında hiçbir şey istememesine dikkat ettim.
Bu işe yaramış gibi görünüyordu: İletişim kurduğum insanların çoğunluğu dostane bir tavırla yanıt verdi, kırılganlığa dikkat çektiğim için bana teşekkür etti ve hatta bazen bir teşekkür ifadesi bile sundu. Yaşadığım en kötü deneyim ya görmezden gelinmek ya da alıcıyı bu tür şeylerle rahatsız etmememin söylenmesiydi.
İlk soruya dönersek, sınırları bilmenin önemli olduğuna inanıyorum. Son yıllarda, güvenlik araştırmacılarının çok ileri giderek başlarının belaya girdiğine dair birkaç hikaye duyduk. Eğer kişi bir programın kapsamına saygı gösterirse, testleri gerçekleştirirken bir şeyleri kırmamaya çalışırsa ve herhangi bir şeyi gasp etmeye kalkışmazsa (“ödül plz” olarak da bilinir), bunun bir kazan-kazan durumu olma ihtimali yüksektir.
Ama tabii ki hikayem tamamen hayatta kalanlara yönelik olabilir ve başkaları için pek iyi sonuçlanmayabilir, bu yüzden buna biraz ihtiyatlı yaklaşın.
“Biri programın kapsamına saygı gösterirse ve testleri yaparken bazı şeyleri bozmamaya çalışırsa, bunun bir kazan-kazan durumu olma ihtimali yüksektir.”
Sonuçta her şey güvene dayanıyor. Görünen (veya görünmeyen) sınırları aşmamanız konusunda size güvenilebilir mi? İyi niyetli çabalarınızı etkili bir şekilde iletebilir misiniz?
Her durumda, sorumlu bir açıklama ve hata ödül programının kurallarından haberdar olmak ve bunları iyice takip etmek kesinlikle yardımcı olur. Emin değilseniz önce sorun.
Detectify: En son bilgisayar korsanlığı teknikleri ve teknolojileri konusunda nasıl güncel kalabilirsiniz? Araştırma kaynaklarınızdan bazıları nelerdir?
Kıyılmış: Eskiden bulgularını ve tekniklerini sık sık paylaşan doğru kişileri takip ettiğinizde Twitter bunun için gerçekten harika bir kaynaktı. Ancak bunun zamanla değiştiğini hissediyorum; artık bloglarda daha az yazı görüyorum, ancak öte yandan okuyabileceğiniz, anlayabileceğiniz ve onlardan bir şeyler öğrenebileceğiniz çok sayıda kamuya açıklanmış hata ödülü raporu var. YouTube veya podcast’ler gibi başka bilgi kaynakları da vardır, ancak sonuçta hiçbir şey uygulamalı deneyimin yerini tutamaz.
Şahsen ben okumaktan gerçekten keyif alıyorum HackerHaberleri BT güvenliğiyle ilgili topluluk tarafından seçilen teknik haber akışını almak için. Becerilerimi ve bilgilerimi güncel tutmak açısından öncelikli hedefim bayrak kapma (CTF) yarışmalarıdır. Benzer düşüncelere sahip insanlardan oluşan bir ekiple güvenlik bilmecelerini çözmek benim için çok değerli bir öğrenme kaynağı oldu ve hala da öyle. İyi organize edilmiş CTF’ler genellikle en son güvenlik açıklarını ve hackleme tekniklerini içerir, bu nedenle ilk sırayı almak istiyorsanız bunlardan kaçınamazsınız.
Diğer insanlarla konuşmak, işbirliği yapmak ve konferanslara katılmak da elbette güncel kalmanıza yardımcı olur. Son fakat bir o kadar da önemlisi, doktora derecesi olarak. Aday olarak, bazen hata ödülleri için de geçerli olabilecek akademik araştırmaları yakından takip ediyorum.
Detectify: Günümüzün etik hackerlarının karşılaştığı en büyük etik zorlukların neler olduğunu düşünüyorsunuz ve bunları çalışmalarınızda nasıl ele alıyorsunuz?
Kıyılmış: Sorumlu açıklama ve hata ödül programlarına ilişkin olarak, zorlu rekabet büyük bir zorluktur. Güvenlik açıklarını bulamamanız veya yalnızca kopyalarla karşılaşmanız motivasyonunuzu oldukça düşürebilir. Modern web siteleri 10 yıl öncesine göre daha güvenli olduğundan bu durum günümüzde daha sık yaşanıyor.
Kapsamın dışına çıkmak ve başkalarının henüz incelemediği uç noktaları hacklemek cazip gelebilir, ancak bunu yaparak çoğu hata ödül platformunun sahip olduğu Güvenli Liman Anlaşmasını (SHA) geçersiz kılacaksınız. Kapsam dahilinde kalırsanız ve programın kurallarına sadık kalırsanız bundan kaçınabilirsiniz. Anlaşılmayan bir şey varsa program sahiplerine sorun.
Detectify: Detectify Crowdsource ile çalışmanın en sevdiğiniz yönleri nelerdir?
Kıyılmış: Kapsama uymaktan bahsederken Detectify bu konuda çok yardımcı olabilir. Gönderilen bir modül doğrulandıktan ve kabul edildikten sonra, yalnızca Detectify’ın yetkili olduğu, Detectify müşterisinin varlıklarına ve uç noktalarına karşı çalıştırılacaktır. Bu, Crowdsource bilgisayar korsanlarının diğer hata ödülü hedeflerini hackleme konusunda zaman kazanmasını sağlar; Detectify modüllerinizi diğer müşterilerin varlıklarında çalıştırırken, siz de normalde erişemeyeceğiniz hedeflere karşı güvenlik açıklarınızı çalıştırarak daha büyük bir erişime sahip olursunuz. Ayrıca saatlerce veya bütün gece böcek ödül avı yapacak vaktiniz yoksa da harikadır. Modülünüz her isabet oluşturduğunda parasal bir ödül alacaksınız.
Özetle, Detectify’ın Crowdsource sisteminin hoşuma giden yanı onların işi yapması, benim de araştırmayı yapabilmem; bu herkes için bir kazanç/kazan. 🙂
Detectify Crowdsource’a dahil olun
Detectify Crowdsource, Gehaxelt gibi etik bilgisayar korsanlarının yeteneklerini benimsiyor. Bu çalışma ilgi alanlarınıza uygunsa, mümkün olan fırsatlar hakkında daha fazla bilgi edinmenizi öneririz. Crowdsource’a katılma.
Ayrıca şunları yapabilirsiniz: ekibimizin faaliyetlerini takip etmek Crowdsource bilgisayar korsanlarımızın en son ve en önemli araştırmalarından haberdar olmak için.