Facebook 50 bin dolar internet savunma ödülü veriyor

Facebook 50 bin dolar ödül veriyor

Facebook,  internet savunma ödülü adıyla interneti en güvenli hale getirmek için dünyanın her yerinden güvenlik araştırmacılarını özendirecek oldukça hatırı sayılır para ödülü veriyor.

Çok büyük teknoloji firmalari, uygulamalarındaki ya da web sitelerindeki güvenlik açıklarını bulmaları için Bug Avcılarına binlerce dolar ödül veriyor. Bu sayade hem kendileri hemde uygulamalarını ve web sitelerini kullanan ziyaretcileri siber saldırganlardan korumuş oluyor.Facebook ta bunlardan biri.

San Diego’da perşembe günü düzenlenen UseNix Güvenlik Sempozyumunda, internet savunma ödülünün ilki “Web uygulamalarında ikinci-sıra zafiyetleri statik olarak yakalamak” adlı calışmalarıyla  Almanya Ruhr Üniversitesinden iki araştırmacıya verildi. Çalışma, web uygulamalarındaki zafiyetleri bulma konusunda yeni bir yaklaşım sunuyor.

Johannes Dahse and Thorsten Holz adındaki araştırmacılar, web sunucuya yüklenen ve zaman içinde zarar veren İkinci-seviye zafiyetleri tespit etmek için statik bir yaklaşım izlediler. Facebook sayfalarında belirttikleri yazıya göre ikinci-seviye zafiyetler arasında saldırganın uzaktan exploit yapması için hedef web sunucularına kötü niyetli kod yüklemesi de yer alıyor.

Çalışmada belirtildiğine göre; “Eğer payload, paylaşımlı bir kaynakta saklandıysa ve tüm kullanıcalara yayıldıysa, uygulamanın kullanıcılarını hedef alan XSS saldırıları en kötüsü”

Statik yöntemle kaynak kodu analiz ederek, ikinci-seviye zafiyetleri tespit etmek oldukça zor. Ancak alman ekip, web sunucudaki bellek lokasyonlarına yapılan okuma ve yazma işlemlerini analiz edip,  database ya da session gibi persistent olmayan  data store’lardaki input ve output noktalarına bağlanarak, temiz olmayan veri akışını belirleyebiliyor.

Alman ekip anlattıkları bu yöntemle en popüler  altı web uygulamasındaki 159 ikinci-seviye zafiyeti yakaladı. Bunların arasında kritik zero-day açıkları da bulunmakta.

Ödül komitesinde yer alan, Facebook Güvenlik Mühendisliği Müdürü John Flynn’in açıklamasında “Çıkan etkileyici sonuçlara ek olarak, komite çalışmanın implementasyonunundan da çok etkilendi…” dedi.

Çalışmanın teknik yaklaşımını çok güçlü bulan ve bu ödül sonrası araştırmacıların bir sonraki adımda ne yapacaklarını heyecanla bekleyen komite, insanların bu araştırmayı gerçek hayatta kullanmasını da teşvik etmek istiyor.

Komite aynı zamanda araştırmacıları ve güvenliğe gönül vermiş kişileri, çalışmalarını Facebook’a göndermeleri için davet ediyor. Bir sonraki İnternet Güvenlik Ödülü belki sizin olabilir. Flynn yaptığı açıklamada,  katılımın yüksek olmasına bağlı olarak  ödül miktarının artabileceğini söyledi.

 

Geçtiğimiz kasım ayında Facebook, açık kaynak kodlu projelerde geniş kapsamlı  internet zafiyerlerinin bulunması konusunda ödül veren  İnternet Bug Ödülü (İnternet Bug bounty)  ‘ne de yardım etmişti. İnternet Savunma Ödülünün benzeri olan İnternet Bug Ödülü, HAckerOne tarafından host ediliyor ve Microsoft,  Google gibi devler tarafından destekleniyor.