Coin’ler ne kadar güvenli?
İNSANLAR sürekli coin’leri soruyor. En çok sorulan iki konudan biri coin’lerin ne kadar güvenli olduğuyla ilgili. Bu soruya kesin bir cevap vermek için çok derin bilgi dağarcığı gerekiyor. Ancak belki bir faydası olur diye geçen hafta yaşanan fakat gündem olmayan bir olayı paylaşalım. Sessiz sedasız, hiç yaşanmamış gibi gündeme gelmeden kapanan bu olay en çok bilinen coin olan Bitcoin’le ilgili. Daha açık anlatalım; Dünyanın en çok ziyaret edilen kripto para siteleri arasında ilk sıralarda yer alan ve en köklü platform olan bitcoin.org hacklendi.
Site bitcoin’in kurucusu olarak bilinen Satoshi Nakamoto’ya ait.
Bu olay sonrası Web sitesine girildiğinde herkesi aynı mesaj karşıladı. Bu mesajda yatırımcıların bitcoin’lerini ikiye katlayacağı bir sistemden bahsediliyor. Deniyor ki, belirtilen adrese Bitcoin göndermeniz halinde size hemen gönderdiğiniz Bitcoin’in iki katı gönderilecek. (Aslında bu taktikle dünyada bugüne kadar milyonlarca dolar karşılığı kripto para dolandırıcılığı gerçekleşti.)
Bu duyuru ile platformu kullanan kişiler hackerların tuzağına düşmüş oldu.
Olay bununla da bitmiyor. Bu durum gerçekleşirken twitter üzerinden de web sitesi operatörü bitcoin.org’un ele geçirildiği konusunda uyarı yayınlandı. Ancak bu duyuru yayınlandığında halk tabiri ile atı alan Üsküdar’ı geçmişti…
Sonuçta sorun fark edilene kadar ‘bir-iki dakika içinde’ 17 bin dolarlık Bitcoin çalındı…
Bir konu daha var. Yaz aylarında basında peş peşe benzer haberler çıktı. Bu haberlerin ortak yanı ise bazı gençlerin TikTOk isimli sitenin güvenlik açığını bulduklarıydı. ‘TikTok’un güvenlik açığını bulduk’ başlıklı haberler her seferinde yeni bir olaymış gibi kamuoyuna yansıdı. Yine basına yansıyan haberlere göre bu gençler TikTOk’la ilgili buldukları güvenlik açıklarını maille firmaya yollamışlar. Ve para ödülü almışlar…
Önce bu haberlerin gerçeği yansıtmadığını söyleyelim.
Çünkü TikTok uygulamasında güvenlik açıklarını sadece “HackerZone” platformu üzerinden kabul edilir ve yazışmalar İngilizce olur.
Anlayacağınız güvenlik açıklarını bulduklarını iddia edenler bunu mail yolu ile gönderemezler, gönderseler bile cevap alamazlar.
İkincisi bu tarz işlerde bulunan güvenlik açığına dair raporlar paylaşılmadan para ödülü kesinlikle teklif edilmez. Çünkü güvenlik açığı raporları çok profesyonelce hazırlanır.
Bu arada global veya büyük şirketler belirli ödül avcılığı (HackerZone, HackerOne, BugCrowd gibi) olan platformlara kayıt olup ödül karşılığında güvenlik açığı testlerini, zafiyet testlerini veya daha büyük testleri yaptırabiliyor.
Sistem çok basit işliyor. Her bir konu ile ilgili zaman ve ödül belirleniyor. En kısa sürede bu işi yapan ve raporlarını düzenli hazırlayan pentester (siber güvenlik uzmanı) ödül alıyor. Ve daha da önemlisi bu resmi bir şekilde açıklanıyor.
Görünen o ki, bizim adamlar sürecin nasıl işlediğine dair en ufak bir bilgi sahibi dahi değiller.
Sonuç olarak bu tarz açıkları bulabilmek için öncelikle kişilerin ödül avcısı olması gerekir. (Bounty Hunter, Bug Bounty)
Ödül avcılığı konusunda giriş seviye bilgisi olan biri bu işlerin böyle yürümediğini, tabi bu tarz olta haberleri şirketlerin hemen fark ettiğini de bilir…
Sağlıklı haftalar dileğiyle
OĞUZ DEMİR
