evren yalçın - fatmagül ergani - kurumsal firmalar için hata avcılığı
TRANSCRIPT
Kurumsal firmalar için hata avcılığı
Evren YALÇIN&Fatmagül ERGANİ
Superbug Bilgi Güvenliği Topluluğu
Ajanda
● Hata nedir, nasıl ortaya çıkar?● Nasıl hata avcılığı yapılır?● Kurumlar için hata avcılığı?
Acil Durum
● Müşteri&Patron Bekliyor!● Çalışsın yeter!
Konfor Alanı
1- Üretim esnasında oluşan hata
2- Üretimden sonra oluşan hata
Hata-1
$s = Ben bir değişkenim$sayi = Ben bir sayıyım
CamelCase
● Kimyasal bileşiklerin ifadesi için icad edilmiştir.
Örn : toplamSiparisSayisi, personelAd
Hata -2
● MVC Çatısı kullanmak...● Güncellemelere dikkat etmemek...
Hata avcılığı nedir?
● Firmaların sistemlerinde bulduğunuz güvenlik açıklarını kendilerine bildirmeniz karşılığında ödül kazandığınız ( Para , Eşantiyon, Onur listesi vb gibi... ), karşılıklı güvene dayalı bir organizasyondur.
Kim Bunlar?
● Nakit Para● Şöhret● Pratik Yapmak
Tercih Sizin
● Sızma testi yapan firmalar● Dünyanın dört bir yanında sızma testi yapan
kişiler
Niye yaptırmalıyız?
● Hata avcılığı programı ile yetenekli kişilere ulaşma şansınız artar.
● Masraflı değildir.● Otomatize araçlara olan bağımlılık azalır.
Sorunlar?
● Uluslararası bir takım legal problemler● Hataların giderilmesi için yoğun takım
çalışması● False Positive ( Zafiyetin olmama durumu )● Doğru bir şekilde işlemeyen süreçler● Hacker dedikoduları
Üçe ayrılır
● Farkedenler● Farketmeye çalışanlar● Farketmeyenler
Yahoo Örneği
Yahoo Örneği -2
Bugbounty.yahoo.com
Yandex Örneği
Samsung -1
Samsung -2
● Bir zafiyet sadece kurumun altyapısına sızabildiğini göstermek amacıyla istismar edilebilir.
● Sistemde bulunan bir zafiyet internal sisteme ulaşmaya sebep olacağı için POC kodu zafiyetin ispatı açısından yeterlidir.
Nereden Başlarım?
● Facebook & Dropbox
Saldırı Vektörü
'"><img src=x onerror=alert(document.domain)>.txt
Bu kadar basit
Takip et!
● “Bir zafiyet buldum” sosyal hesaplarını ve blogunu takip altına al
Aynı zafiyetin olma ihtimali var...
Sonuç?
Samsung Smart Tv servislerinde milyonlarca cihazı etkileyen 2 adet zafiyet...
Etkilenen Servisler :
Samsung AppsSamsung BooksSamsung LearningChatON (100 milyon kullanıcı)Family StorySamsung LinkTelefonumu bulSamsung Hub
Etkilenen Cihazlar :
Samsung Akıllı TelefonlarTabletler
Teşekkürler
www.superbug.co Bilgi Güvenliği Topluluğu