Facebook’tan ödül alan Baliç: “Kuralları ben koyarım”

AMACIM HACK DEĞİL, ARAŞTIRMAK

Apple web sunucu bildirim sayfasında adınız cross-site scripting sorunu bildiren kişi olarak geçiyor, ayrıca bu sayfa için birçok farklı kişinin ve grubun da adı farklı hata bildirimlerinde geçiyor. Sadece hata bildirimini bir sitenin hack’lendiğinin kanıtı olarak mı algılamalıyız?

Öncelikle konu çok yanlış anlaşılmış. Siteyi hack’lenseydi veya o kişiler saldırı yapsaydı, o sayfada bulunmazlardı. Öncelikle o sayfanın anlamı doğru anlaşılmalıdır. O sayfa şu anlama geliyor: Bahsedilen Apple ürünlerinde bir hata vardır. İyi bir güvenlikçi bu hatayı bulmuştur ve bize rapor etmiştir, biz de bu hatayı gidermişsizdir. Etik kurallar dışına çıkarsanız, zaten o sayfaya eklenmezsiniz. Yoksa o sayfa dışında binlerce kişi Apple ürünlerini kırıyor, niye orada yoklar?

Şimdi gelelim sorunuza; cross-site-scripting türünde de zafiyetler keşfettim, stored-cross-site-scripting türünde de keşfettim. Bunlar, birbirinden farklı türlere sahiptir. Öncelike, bu tür zafiyetlerin neler olduğunun anlaşılması gereklidir. Stored-XSS zafiyeti keşfetmek demek, geliştirme merkezi (Apple Dev Center) içine, benim istediğim bir java script’i kalıcı olarak dahil etmem ve siteye giren tüm kullanıcılarda (yöneticiler, geliştiriciler, moderatörler ve saire) bu script’i (betik adlı ufak programlar) çalıştırmam demektir. Bunu çalıştırarak, tüm çerezleri (sitede oturum açma bilgilerini) çalabilirim. Sitede stored-xss bulmak, siteyi hack’lemek değildir ama sitede siteyi doğru bir saldırı ile hack’leyebileceğinizi gösterebilir. Ama bizim böyle bir çalışmamız olmadığı için, zaten bizi ilgilendiren bir durum değil. Ben güvenlik araştırması yaparım, buldugum zafiyeti de firmalara gönderirim.

Techcrunch’a DevCenter’ın kapanmasından önce bildirdiğiniz hatanın (#14488816) iAd, yani Apple’ın mobil reklam platformuyla ilgili olduğunu söylemişsiniz. Bize olayı bir daha anlatmak ister misiniz? Apple, DevCenter nasıl hack’lendi ve bunu yapan kişi siz miydiniz?

Her sorunuz için aynı cevabı vereceğim. Apple DevCenter hack’lenmedi. Firma, kendisini koruma altına alabilmek için kapattı. Benim de bir hack girişimim bulunmadı. Ortalığın karışmasının sebebi, aslında tam olarak bu diyebiliriz. Ayrıca iAd için yaptığım bildirimde görmüş olduğunuz gibi, reklam platformu üzerinden Apple’a kayıtlı tüm kullanıcılara ulaşabiliyordum. Zaten hata da buydu. Bu bilgilere gelişigüzel, herkesin ulaşabileceğini gösterdim ve 140 binden fazla Apple kullanıcı ID’sine eriştim. Apple şirketinin yanılmasına sebep olan şey ise şu oldu; benim onlara örnek olarak gönderdiğim veriler arasındaki bulunan kullanıcı bilgileri arasında java script kodları gözüküyordu. Bunu gören yetkililer de, benim forum içerisinde keşfettiğim stored-xss’i kullanarak bu bilgileri çalmış olduğumu düşünmeleri oldu. Bu yüzden de kapattılar.

ibrahim balic_facebook odul1

FACEBOOK AÇIKLARI, ONA ÖDÜL GETİRDİ

Hakkınızda yayınlanan haberlerde Facebook’a da çeşitli hatalar bildirdiğiniz ve hatta Facebook’un size para ödülü verdiği belirtiliyor. Firmalar güvenlik açıkları için böyle prosedürler izliyor mu?

Facebook bana bir kredi kartı gönderdi. Bununla alakalı olarak, bir de tebrik mektubu ve birkaç hediye aldım, şapka, tişört ve iPhone kabı. Bunları, zafiyet keşfeden ve bunu firmaya raporlayan kişilere gönderiyorlar. Burada firma kendi içinde bulmuş olduğunuz zafiyet türüne göre size para ödüyor (kredi kartınıza limit ekliyorlar).