WhatsApp Güvenliği ve Ödül Avcılığı

WhatsApp Güvenliği ve Ödül Avcılığı
Aralık 31 14:31 2015 Yazıyı Yazdır

Şirketlerin bilgi güvenliğini sağlamak ve veri sızıntılarının önüne geçmek adına kullanabileceği en etkili yöntemlerden biri Ödül Avcılığı (Bug Bounty) programlarını etkin bir şekilde kullanmasıdır.. Ödül avcılığı programı, şirketlerin belirli politika ve kurallar dahilinde vermiş olduğu hizmet/uygulamalarda güvenlik açığı bulan güvenlik uzmanlarını ödüllendirmesi esasına dayanır. Bu model milyonlarca dolar yatırım yapılan uygulama ve servislerin güvenliğini arttırdığı gibi kapatılan güvenlik açıkları ile olası veri sızıntılarının önüne geçilmektedir.

Siber güvenlik alanında farkındalığı olan ve müşterilerine ait kişisel bilgilerin güvenliğine önem veren, uluslararası yüzlerce şirket bu tarz servisleri kullanmaktatır. Google, Microsoft, Paypal, Facebook, Tesla Motors gibi firmalar Ödül avcılığı programını kullanmakta ve toplamda milyonlarca dolar ödeme yapılmıştır. Aşağıdaki örnekte ödül avcılığı kapsamında Google tarafından verilen ve güvenlik açığı türüne göre değişen para miktarı belirtilmiştir.

bug-bounty1

Bu model temelde güvenlik uzmanlarının iyi niyetine dayalı bir yapıdır. Çünkü bulunan kritik güvenlik açıkları firmaya haber verilmeden illegal örgütlere, istihbarat servislerine veya rakip firmalara yüksek fiyatlara satılabilmektedir. Bu yüzden firmaların bu kanalı suistimal etmeden, çok efektif bir şekilde kullanması faydalı olacaktır. Aksi durumda bu işten zararlı çıkacak olan milyonlarca dolar cirosu olan firmalar ve mahremiyeti ihlal edilen müşterilerdir. Unutulmamalıdır ki siber ortamın güvenliği hackerların sayesinde daha güvenli veya daha güvensiz hale gelmektedir. Burada önemli olan motivasyon unsuru olmakla birlikte, ödül avcılığı modeli iyi bir fırsattır. Şirketler veri güvenliğini belli güvenlik hizmeti veren firma ve ürünlere teslim etmenin yanında, binlerce güvenlik uzmanının incelemesine açık hale getirmesi çok daha verimli olacaktır. Bu yolla yapılan bildirimlere hızlı geri dönüş ve tedbirlerin alınması güvenliğin sağlanması adına etkin bir çözüm olacaktır.

Firmalar sattıkları ürün ve verilen hizmetlerin daha güvenli olması için yüksek oranda bütçeler ayırmakta ve yatırım yapmaktadır. Çünkü yaşanacak bir güvenlik ihlali hem maddi hem de prestij kaybı olarak karşımıza çıkmaktadır. Yaşanan en büyük hata, siber güvenlik konusundaki tedbirlerin ürün bazlı ve marka bağımlı olmasıdır. Unutulmamalıdır ki güvenlik yaşayan bir süreç ve bu süreç içerisinde yaşanması gereken bir kültürdür.

Whatsapp Vakası

Buraya kadar şirketlere ait ürün, uygulama ve servislerin güvenliğinin sağlanmasında, ödül avcılığı programlarının önemine değindim. Yazının devamında 900 milyondan fazla aktif kullanıcısı olan Whatsapp uygulamasında tespit edilen ve şirkete raporlanan güvenlik açıkları karşısında Whatsapp şirketinin tutumuna yer vermek istiyorum.

Zafiyet 1

6 Mayıs 2014 tarihinde yaptığım güvenlik analizleri sonucunda Whatsapp uygulamasının medya sunucusunda (media.whatsapp.com) kritik seviyede bir güvenlik açığı tespit ettim ve aynı gün ödül avcılığı programı olmamasına rağmen tüm detayları ile şirketin ilgili birimlerine bilgi verdim. Tespit edilen güvenlik açığı LFI (Local File Inclusion) ile uygulama sunucusuna ait “/etc/passwd”, “/var/log/lastlog” gibi kritik tüm dosyalara erişilebiliyordu. Facebook tarafından yaklaşık 19 milyar dolara satın alınan ve 900 milyon kullanıcısı olan bir şirketin, bu derece kritik güvenlik açığı karşısında neler verebileceğini hayal etmeye başladığınızda kocaman bir hiç ile karşı karşıya kaldığınızı görürsünüz. İnanması zor ama güvenlik açığı bildiriminden 1 saat gibi kısa bir sürede zafiyet kapatılmasına ragmen defalarca gönderilen maillere cevap alınamamıştır. Para ödülü verilmediği gibi milyonlarca müşteri güvenliğinin sağlanması adına yapılan bildirim için teşekkür dahi edilmediğini görmek benim gözümde Whatsapp balonunu söndürmüştür. Burada asıl problem milyarlarca dolar yatırım yapılan bir firmada kritik açığın çıkıyor olması değil, sergilenen yaklaşımdır.

Güvenlik Açığı Detayı

Vulnerability: LFI (Local File Inclusion)
Url: https://media.whatsapp.com/directory/graphics/?path=..//../..//../..//../..//../..//../..//etc/passwd
Video:

bug-bounty2

bug-bounty3

bug-bounty4

Zafiyet 2

27 Aralık 2015 tarihinde ekip arkadaşımız “@sistemhatasi0“ tarafından “translate.whatsapp.com” web uygulamasında yaptığı güvenlik analizi sonucunda uygulamaya admin olarak login olmuş ve tüm yönetimi ele geçirebilmiştir. Güvenlik açığının kritik olması sebebiyle güvenlik uzmanı ilgili kişilere hem mail, hem de sosyal medya üzerinden bildirimde bulunmasına rağmen, 2 gün sonra güvenlik açığı kapatılıyor.

Bu uygulama, Whatsapp uygulaması üzerindeki yazıların farklı dillerdeki karşılığı ve alternatiflerinin girildiği, yaklaşık 200.000 üyesi bulunan bir platform. Dünyanın farklı coğrafyasında yaşayan ve farklı dillere hakim kişiler metinleri çeviriyor. Admin olan kullanıcı da girilen alternatif çevirileri kontrol ederek, onaylıyor. Elde edilen zafiyet kullanılarak bu onay işlemini yapabildiğiniz gibi yazılan metinleri değiştirebilecek yetkiye sahipsiniz. Ayrıca kullanıcıların kişisel mail adresi, sosyal medya hesaplarına da ulaşılabilmektedir. Bu uygulama üzerinden yapılan ve onaylanan çeviri metinleri nasıl bir süreçten geçerek son kullanıcıya yansıyor bilemiyoruz. Belki de burada yapılan değişikliklerle son kullanıcı ekranları manipüle edilebilir. Peki milyar dolarlık bir şirketin, yaklaşık 200.000 üyesi bulunan “translate.whatsapp.com” web uygulamasındaki kritik güvenlik açığı neydi ? Malesef default user/parola kullanımı. Yani Username: “admin”, Password: “admin”.
Şirket yetkilileri tarafından 2 gün boıyunca alınmayan aksiyon sonunda alınıyor ve güvenlik açığını bulan kişiye aşağıdaki mail iletiliyor.

bug-bounty5

Güvenlik Açığı Detayı

Vulnerability: Default Password (admin/admin)
Url: https://translate.whatsapp.com
Video:

bug-bounty6

bug-bounty7

bug-bounty8
2 günlük geçikme ile birlikte samimiyetten yoksun, müşterilerin güvenliğini hiçe sayan bu tutum ve davranışlar Whatsapp şirketine ciddi zarar verecektir. Elde edilen bu ve benzeri güvenlik açıkları kötü niyetli kişilerin elinde olması halinde Whatsapp şirketine ve müşterilere zarar verebilirdi. Bu olmadıi çünkü bahse konu olan her iki durumda da şirket yetkilileri ile detaylar paylaşıldı, veri sızıntısının önüne geçildi. Fakat müşteri olarak bizim gösterdiğimiz hassasiyeti, şirket yetkililerinin göstermemesi prestij açısından büyük zarar vermiştir. Güvenlik farkındalığı olmayan ve o kültürü benimsememiş şirket yetkilileri, sizi hedef alan kötü niyetli bir hackerdan daha fazla zarar vermektedir.

Umarız şirket yetkilileri bu güvenlik risklerini ve kültürünü iyileştirme adına hızlıca önlem alırlar. Aksi taktirde Whatsapp şirketi ve uygulaması bilgi güvenliği alanında büyük bir sınavı kaybetmiş olacaktır.

daha fazla yazı

Yazar Hakkında

Osman Doğan
Osman Doğan

Twitter: @osmand0gan Linkedin: https://tr.linkedin.com/in/osman-do%C4%9Fan-087b0031 Vimeo: https://vimeo.com/osmandogan/videos

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.