NASA’nın güvenlik açığını tespit eden BEUN öğrencisine takdir mektubu

Zonguldak Bülent Ecevit Üniversitesi (BEUN) Bilgisayar Mühendisliği Bölümü Öğrencisi Yusuf Nas (22), NASA’nın kullanıcı sisteminde kritik bir güvenlik zafiyeti tespit edip kapatılmasına katkı sağlaması üzerine takdir mektubu ile ödüllendirilerek onur listesine dahil edildi.
Zonguldak Bülent Ecevit Üniversitesi (BEUN) Bilgisayar Mühendisliği 4’üncü sınıf öğrencisi Yusuf Nas, NASA’nın düzenlediği güvenlik ihlali tespit etkinliğine katıldı. İki aylık çalışmanın ardından Nas, sadece e-posta adresiyle, herhangi bir işlem yapılmadan farklı bir kullanıcı hesabının devralınabildiğini tespit etti. Nas, durumu detaylı NASA’ya bildirdi. Üç ay boyunca NASA uzmanlarıyla birlikte çalışarak zafiyetin kapatılmasına katkı sağladı. NASA, Yusuf Nas’a takdir mektubu gönderdi ve ismini onur listesine ekledi.

"Hesap devralma zafiyeti tespit ettim"
Nas, bulduğu açığın teknik detaylarını paylaşarak sürecin önemini vurguladı. Tespit ettiği zafiyetin, kullanıcıların hesaplarına hiçbir etkileşim olmadan erişim sağlanmasına neden olduğunu belirtti. Herhangi bir tıklamaya gerek kalmadan NASA’nın sistemine kayıtlı kullanıcının hesabının ele geçirilebildiğini anlatan Nas, "Yaklaşık 3 yıldır siber güvenlikle ilgileniyorum. Bu alanda kendimi geliştiriyorum. Yakın zamanda NASA’nın sistemlerinde de zafiyet buldum. Bu zafiyet şöyle bir zafiyet. Siz kendi hesabınızdan farklı hesaplara geçiş yapabiliyorsunuz. Biz de buna account takeover olarak nitelendiriyoruz. Sizin bir hesabınız var diyelim farklı hesaplara erişiminiz yok farklı hesaplara erişiminiz olmasını sağlıyor yani aslında farklı hesabı devralmak diyebiliriz aslında biz buna. Şöyle oluşuyor. Zero click adını verdiğimiz bir zafiyet türü var. Bu zafiyet türü karşı tarafın herhangi bir tıklamaya gerek kalmadan hesabının ele geçirilmesi anlamına geliyor. Bazen SMS gelir, zararlı linkler gelir, bunları tıkladığınızda bazı verileriniz çalınır. Bunlar zero click değildir mesela. Bunlar bir tıklamaya ihtiyaç duyar. Ama benim bulduğum zafiyette karşı tarafın hiçbir şekilde tıklamasına gerek kalmadan hesap devralma zafiyetiydi. Bu zaten bu yüzden kritik bir zafiyet olarak nitelendirildi" dedi.

NASA ile yürütülen süreç üç ay sürdü
Nas, NASA’ya Haziran ayında gönderdiği raporun ardından üç ay boyunca uzmanlarla iletişimde kaldı. Zafiyetin kapatılması için teknik destek sundu ve süreci birlikte yönetti. Nas, "NASA’nın şöyle bir de politikası var. Eğer zafiyet bulup bunu bize bildirirseniz ve geçerli bir zafiyetse biz size ödül veriyoruz diyor. Şöyle bir süreç işledi. Ben bu zafiyeti buldum. Uzun süredir zaten bu alanla ilgileniyordum. NASA’ya bunu bildirdim. Haziran ayında bu raporu gönderdim. NASA bu raporu inceledi ve geçerli bir zafiyet olabileceğine karar verdi. Ben de yaklaşık 3 aylık süren süreçte NASA’ya ek bilgiler gönderdim. Kendi istedikleri doğrultuda çalışmalar yaptım. NASA’nın zafiyet kapatma aşamasına aslında yardım ettim diyebiliriz" diye konuştu.

NASA sistemine kayıtlı kullanıcıların verileri risk altında kaldı
Nas’ın tespit ettiği açık, kullanıcıların kişisel bilgilerine erişim sağlanmasına imkan tanıdı. NASA’nın etkinlik sistemine kayıtlı kullanıcıların ev adresi, telefon numarası gibi hassas verileri bu açık nedeniyle tehlikeye girdi. Nas, süreci şöyle aktardı:
"Zafiyeti gönderiyorsunuz. Nasıl kapatılacağını anlatıyorsunuz. NASA’da bu yönergeye göre size eğer gerçekten başarılı bir şekilde bu süreç tamamlarsanız bir onur belgesi veriyor. Bir de onur listesine ekliyor. Ben de bunları almaya hak kazanıyorum. NASA’nın sistemlerinde bir kullanıcı girişi var. NASA bu kullanıcılara kendi etkinliklerine katılma fırsatı veriyor. Siz eğer NASA’nın çalışanı değilseniz sisteme kayıt yapmanız lazım. Bu kullanıcılar sisteme giriş yaparken de ev adresi, ad, soy ad, telefon numarası gibi hassas veriler olarak adlandırdığımız verileri kaydediyor aslında. Benim bu zafiyetimde farklı bir hesabı devralmaya yönelik olduğu için farklı kullanıcıların istediğim kullanıcının aslında ev adresi olsun, telefon numarası olsun bunları ele geçirmeme olarak sağlıyordu. Veri ihlali sınıfına girdiği için de NASA bunu biraz ciddiye aldı ve bu süreci beraber yönettik. Üç aylık süreçte kendilerine verdiğim bilgiler işte mesela zafiyeti kapattık diyorlar ama ben tekrar inceliyorum kapanmamış. Farklı bir şekilde tetiklenebiliyor. Ben bunu tekrar söylüyorum. Bu sefer farklı bir yöntem izliyorlar. Bu süreç bu yüzden 3 ay sürdü. Bazen 3 ay sürmeyebiliyor. Sonunda gerçekten böyle bir zafiyet oldu."

"Hayalimi gerçekleştirdim"
Nas, elde ettiği başarıyı üniversitesiyle paylaştı. Okulunun desteğini aldığını ve bu sürecin kendisi için manevi bir değer taşıdığını ifade etti. Kendisinden sonra başlayanlara da "çalışmayı" tavsiye eden Nas sözlerini şöyle tamamladı:
"Ben de okulumla paylaştım. Okulum da bunu ciddiye aldı ve çok tebrik etti beni. Çok destek oldular. Benim işime çok onur verici bir şey oldu. Ben zaten bu alanda uzun süredir ilgileniyordum. Farklı şirketlerde zafiyetler bulup ödüller aldım. Ama NASA kadar büyük bir çapta bir şirket olmamıştı açıkçası yani maddi açıdan ödül aldığım oldu ama bu NASA’dan aldığım onur mektubu benim için manevi bir hediye gibi oldu. Benim hayalimdi ve hayalimi gerçekleştirdim. Çok mutlu oldum bu yüzden. Bu olan gerçekten insana güzel şeyler verebiliyor. Benim de öğrenciyken böyle bir şey almam beni çok mutlu etti. Bu alanda ilerlemek için biraz daha teşvik oldu diyebiliriz. Bu alanda ilerlemek isteyen arkadaşlarıma da çalışmayı bırakmamalarını tavsiye ederim. Yani çalıştıktan sonra her şey oluyor. Belki benden çok daha iyiler var. Benden daha yeni başlayan, daha düşük seviyede olanlar var. Bu işin çalışmak. Çalıştıktan sonra her şey olabiliyor."

Konuyla ilgili açıklamalarda bulunan Zonguldak Bülent Ecevit Üniversitesi Rektörü Prof. Dr. İsmail Hakkı Özölçer, Yusuf Nas’ın başarısının sadece BEUN için değil, ülkemiz adına da gurur verici olduğunu vurgulayarak sözlerinde şu ifadelere yer verdi:
"Cumhuriyetimizin ilk üniversitelerinden biri olan Zonguldak Bülent Ecevit Üniversitesi, bilimsel üretim ve genç yeteneklerin yetişmesi noktasında her geçen gün daha da güçlü adımlar atmaktadır. Öğrencimiz Yusuf Nas’ın, NASA gibi dünyanın en prestijli kurumlarından birinin siber güvenlik açıklarını tespit ederek hem takdir edilmesi hem de Onur Listesi’ne alınması, üniversitemizin bilimsel altyapısının ve eğitim kalitesinin en somut göstergesidir. Bu duygu ve düşüncelerle başta öğrencimizi yetiştiren çok kıymetli akademisyenlerimize teşekkür ediyorum. Böylesine gurur verici bir başarıya imza atan değerli öğrencimiz Yusuf Nas’ı ise canı gönülden tebrik ediyor, çalışmalarında başarılarının devamını diliyorum."
Rektör Prof. Dr. Özölçer açıklamasında ayrıca gençlerin teknoloji, bilişim ve savunma sanayii gibi stratejik alanlarda yetişmesinin ülkenin geleceği açısından büyük önem taşıdığına dikkat çekerek, Yusuf Nas’ın başarısının diğer öğrencilere de ilham kaynağı olacağını belirtti.