Safari, Chrome, Edge ve Firefox sanal alanı: Manfred Paul bu yılki Pwn2Own Vancouver uluslararası güvenlik yarışmasında birinci oldu ve yaklaşık 200.000 ABD Doları tutarında nakit ödülle ayrıldı. Yalnızca Apple Safari, Google Chrome ve Microsoft Edge web tarayıcılarını değil, aynı zamanda Mozilla Firefox sanal alanını da hacklemeyi başardı. 2020 yılında, o zamanlar 21 yaşında olan Paul, Pwn2Own yarışması sırasında Linux çekirdeğindeki sıfır gün güvenlik açığından yararlanmayı başardı. Kendisiyle motivasyonları ve yaklaşımı hakkında konuştuk.
Duyuru
Haberler online: Bu tür istismarların geliştirilmesi kesinlikle zaman alır. Buna ne kadar zaman harcadınız?
Manfred Paul: Bu, özellikle farklı merceklere baktığımda cevaplaması zor bir soru. Zamanımın çoğunu bir şeyler arayarak ve hiçbir şey bulamayarak geçiriyorum. Her zaman zayıf yönleri ararım, ilk başta bulamasam bile daha sonra bulunabilir. Somut bir şey bulamadığınız zaman, boşa harcanan zaman değildir. Yeni şeyler öğrenir ve daha sonra zayıf noktanızı bulmanıza yardımcı olabilecek şeyleri anlarsınız. Ancak bir bakıma bu aynı zamanda bir şans meselesidir.
En çok zaman alan şey nedir? Bir boşluk mu buldunuz yoksa onu istismar mı ettiniz?
Birkaç istisna dışında benim için kesinlikle bir keşif. Bazen bir şeyler bulma konusunda daha şanslı olabilirsiniz. Tabii bu aynı zamanda yönteme de bağlıdır. Sık sık koda manuel olarak bakıyorum ve hataları bu şekilde bulmaya çalışıyorum. Diğerleri otomatik araçlarla daha çok çalışabilir ve bu araçları çalışır hale getirmek kesinlikle uzun zaman aldı. Bu çok bireysel bir soru. Benim için böcek avlamak kesinlikle zamanımın çoğunu alıyor. Açıkçası, zaten deneyiminiz varsa daha hızlı gider. Halihazırda birden fazla hafifletici önlemin kullanıldığı ve aynı zamanda zaman alıcı olan, giderek artan sayıda hedef bulunmaktadır.
Uyguladığınız bir tarif var mı?
Tam olarak değil. Aynı zamanda çok fazla sezgi de var. Kodun “Orada bir şey bulursam, o zaman ciddidir” gibi hissettiğim kısımlarına bakma eğilimindeyim. Eğer kötüye kullanılamıyorsa ve hiçbir şekilde bir güvenlik kusuru teşkil etmiyorsa, basitçe bir hata bulmanın hiçbir anlamı yoktur. Tam zamanında derleyiciye, yani çalışma zamanında optimize edilmiş yeni makine kodu üreten koda çok dikkat ediyorum. İşler kötü gittiğinde, işler yolunda gider. Genel olarak, bazı sezgiler zamanla gelişir. Tamam, bu bileşene veya bileşenin ilgili şeyleri yapan bu kısmına daha yakından bakmak istiyorum.
Açıkları bulmak için herhangi bir hazırlık çalışması yaptınız mı? Bir veritabanı veya benzeri bir şey kullanıyor musunuz?
Bu tür şeyler söz konusu olduğunda çok dağınık olma eğilimindeyim. Bazı insanlar oldukça farklıdır ve geçmiş istismarları okur ve farklı kaynaklardan bilgi ararlar. Ben her zaman her bilgiyi her yerden alamayan biriyim çünkü konuya tarafsız bir şekilde yaklaşmak istiyorum. Eğer “Bütün bunlar bulundu” düşüncesiyle yaklaşırsam, o zaman hep “Tamam, bir şekilde kod artık doğru olacak” hissine kapılıyorum. Bu yüzden koda gerçekten eleştirel bakamıyorum. Genel olarak bunun çok kişisel bir şey olduğunu düşünüyorum: Herkesin kendi çalışma şekli vardır.
En çok hangi istismardan gurur duyuyorsunuz ve neden?
Bunu söylemek zor çünkü dediğim gibi şans unsuru her zaman vardır. Herkesin kendine göre zorlukları vardır. Bu yıl yaptıklarım arasında büyük sanal alanı da eklediğim tek yer Firefox'tu. Elbette bunun özellikle son kullanıcılar için pratik önemi daha fazladır çünkü bu ek koruma mekanizması ortadan kaldırılmıştır. Ancak diğer tarayıcıların (Chrome ve Safari) de teknik açıdan ilginç bazı şeyleri olduğunu düşünüyorum.
Mozilla'dan sizinle iletişime geçen var mı?
Yarışma sırasında tüm üreticilerle iletişim halindeyiz ve sıklıkla sahada insanlar bulunuyor; Çevrimiçi olarak Mozilla'dan bazıları vardı. Ayrıca Mozilla'dan biriyle kısa bir temas kurdum ve güvenlikle ilgili hususların çok hızlı bir şekilde ele alınmasının kesinlikle iyi olduğunu düşünüyorum. Daha sonra güvenlik açığı rekor bir hızla çözüldü ve güncelleme hızlı bir şekilde yayınlandı. Bu beni her zaman mutlu ediyor. Gelecekte tarayıcılar için de sistematik değişiklikler yapılması planlanıyor. Tabii bu ileride hayatımı biraz daha zorlaştıracak. Ancak, yalnızca bireysel hataları bulup düzelttiğinizde bu her zaman yel değirmenlerine karşı bir savaştır; her zaman bir sonraki hata olacaktır. Ancak insanlar “Tamam, burada sistematik bir sorunumuz var ve bu tür hataların olasılığını azaltmak için gelecekte bir şeyleri değiştirmek istiyoruz” dediğinde, bu, çalışmanızda başardıklarınızın bir nevi ödülüdür.
Az önce eserinle milyonları yaktın. Bunun için motivasyonunuz nedir? Ve insanların bir şeyleri kaçırdıkları için sinirlenmelerinden korkmuyor musunuz?
Bulgularımı en yüksek teklifi verene satarak daha fazla para kazanabileceğimi biliyorum ama bunu yapmak istemiyorum. Yazılım aynı zamanda herkes için güvenli olmalıdır. Saldırganların, hükümetler veya diğer kuruluşlar olsun, sonuçta benim yardımımla bir şeyler yapabilecekleri gerçeğinden sorumlu olmak istemiyorum. O yüzden sonradan boşluklar dolduğunda gerçekten çok mutlu oluyorum. Kimseyi çok fazla üzdüğümü düşünmüyorum. Sonuçta suçlular için bile bu tür boşlukları tespit etmek ve doldurmak hayatın bir parçasıdır. Bu nedenle, kodlarını daha güvenli hale getiren üreticilere kızmaları gerekir. Teknik açıdan bakıldığında, bir şeyi bulmak, kim olursa olsun, ilgili herkes için zorlu bir iştir. Açıkları doğrudan üreticiye ilettiğimde ve nispeten hızlı bir şekilde düzeltildiklerinde de arkamda belirli bir meşru müdafaa var. Kimse onları önce benden çalmakla ilgilenmiyor. Böylece biraz daha huzurlu uyuyabilirim.
Kişisel olarak hangi tarayıcıyı kullanıyorsunuz?
Tarayıcı hakkında önemli olan hangisini kullandığınız değil, “nasıl” olduğu çok daha önemlidir. Bir öneride bulunmak istemiyorum. Yazılımınızı güncel tutmalısınız, her bağlantıya ve benzerine tıklamamalısınız. Çoğu tarayıcıda, tam zamanında derleyiciyi devre dışı bırakmak gibi güvenliği artırmanın yolları vardır ve bu da elbette performans kayıplarına yol açar. Ancak bu derleyiciler ortak bir hedeftir. Bazı tarayıcılar artık açıkça JIT derleyicisinin devre dışı bırakıldığı ekstra bir güvenli mod sunuyor. Bu, çoğu tarayıcının ayarlarında bulunabilir. Bana göre tarayıcı aktif bir güvenlik kararının parçası değil, ancak benim için ve çoğu insan için aynı zamanda bir alışkanlık ve rahatlık meselesidir.
Nasıl başladın?
BT güvenliğinin ciddi şekilde takip edilmesine katkıda bulunan önemli bir faktör de “Bayrağı Ele Geçirme” tarzı yarışmalardı. Bunlar bazen çok benzer şeyler yaptığınız ve hataları bulmanız gereken yarışlardır. Ancak güvenlik açıkları bilerek yazılmıştır. Bu süreçte çok şey öğrendim. Halen ara sıra oynadığım bir takımım var. Bunun gibi bir şey başlamak için harika bir yardımcıdır. Yöntemlerini öğrendiğim matematik çalışmalarım da bana yardımcı oldu. Bazen yazılımın doğru olduğuna dair zihinsel olarak kanıt bulmaya çalışıyorum.
Pek çok kişinin istediği gibi hacker paragrafı henüz kaldırılmadı. Kariyerinizin başında birisinin sizi yasa dışı faaliyetlerle suçlayacağından korktunuz mu?
Kanunlar konusunda kesinlikle büyük bir dengesizlik var. Güvenlik açığı bildiren birinin yakın zamanda tekrar mahkum edildiğini görmek BT güvenlik topluluğu için utanç verici bir durumdur. İnsanların boşlukları yasal olarak güvenli bir şekilde bildirebilmesi için kanunda bazı şeylerin değişeceğini umuyorum. Özellikle “tersine mühendislik” konusu Almanya'da yasal olarak çok zor. Bir güvenlik araştırmacısı olarak telif hakkı yasasıyla çatışmaya girebilirsiniz. Şu ana kadar daha az tehlike altındaydım çünkü çoğunlukla açık kaynaklı yazılımlarla uğraştım. İlk güvenlik kusurumu Linux çekirdeğinde buldum. Bu kimseye ait bir altyapı değil.
(Mac)
Haberin Sonu
Duyuru
Haberler online: Bu tür istismarların geliştirilmesi kesinlikle zaman alır. Buna ne kadar zaman harcadınız?
Manfred Paul: Bu, özellikle farklı merceklere baktığımda cevaplaması zor bir soru. Zamanımın çoğunu bir şeyler arayarak ve hiçbir şey bulamayarak geçiriyorum. Her zaman zayıf yönleri ararım, ilk başta bulamasam bile daha sonra bulunabilir. Somut bir şey bulamadığınız zaman, boşa harcanan zaman değildir. Yeni şeyler öğrenir ve daha sonra zayıf noktanızı bulmanıza yardımcı olabilecek şeyleri anlarsınız. Ancak bir bakıma bu aynı zamanda bir şans meselesidir.
En çok zaman alan şey nedir? Bir boşluk mu buldunuz yoksa onu istismar mı ettiniz?
Birkaç istisna dışında benim için kesinlikle bir keşif. Bazen bir şeyler bulma konusunda daha şanslı olabilirsiniz. Tabii bu aynı zamanda yönteme de bağlıdır. Sık sık koda manuel olarak bakıyorum ve hataları bu şekilde bulmaya çalışıyorum. Diğerleri otomatik araçlarla daha çok çalışabilir ve bu araçları çalışır hale getirmek kesinlikle uzun zaman aldı. Bu çok bireysel bir soru. Benim için böcek avlamak kesinlikle zamanımın çoğunu alıyor. Açıkçası, zaten deneyiminiz varsa daha hızlı gider. Halihazırda birden fazla hafifletici önlemin kullanıldığı ve aynı zamanda zaman alıcı olan, giderek artan sayıda hedef bulunmaktadır.
Uyguladığınız bir tarif var mı?
Tam olarak değil. Aynı zamanda çok fazla sezgi de var. Kodun “Orada bir şey bulursam, o zaman ciddidir” gibi hissettiğim kısımlarına bakma eğilimindeyim. Eğer kötüye kullanılamıyorsa ve hiçbir şekilde bir güvenlik kusuru teşkil etmiyorsa, basitçe bir hata bulmanın hiçbir anlamı yoktur. Tam zamanında derleyiciye, yani çalışma zamanında optimize edilmiş yeni makine kodu üreten koda çok dikkat ediyorum. İşler kötü gittiğinde, işler yolunda gider. Genel olarak, bazı sezgiler zamanla gelişir. Tamam, bu bileşene veya bileşenin ilgili şeyleri yapan bu kısmına daha yakından bakmak istiyorum.
Açıkları bulmak için herhangi bir hazırlık çalışması yaptınız mı? Bir veritabanı veya benzeri bir şey kullanıyor musunuz?
Bu tür şeyler söz konusu olduğunda çok dağınık olma eğilimindeyim. Bazı insanlar oldukça farklıdır ve geçmiş istismarları okur ve farklı kaynaklardan bilgi ararlar. Ben her zaman her bilgiyi her yerden alamayan biriyim çünkü konuya tarafsız bir şekilde yaklaşmak istiyorum. Eğer “Bütün bunlar bulundu” düşüncesiyle yaklaşırsam, o zaman hep “Tamam, bir şekilde kod artık doğru olacak” hissine kapılıyorum. Bu yüzden koda gerçekten eleştirel bakamıyorum. Genel olarak bunun çok kişisel bir şey olduğunu düşünüyorum: Herkesin kendi çalışma şekli vardır.
En çok hangi istismardan gurur duyuyorsunuz ve neden?
Bunu söylemek zor çünkü dediğim gibi şans unsuru her zaman vardır. Herkesin kendine göre zorlukları vardır. Bu yıl yaptıklarım arasında büyük sanal alanı da eklediğim tek yer Firefox'tu. Elbette bunun özellikle son kullanıcılar için pratik önemi daha fazladır çünkü bu ek koruma mekanizması ortadan kaldırılmıştır. Ancak diğer tarayıcıların (Chrome ve Safari) de teknik açıdan ilginç bazı şeyleri olduğunu düşünüyorum.
Mozilla'dan sizinle iletişime geçen var mı?
Yarışma sırasında tüm üreticilerle iletişim halindeyiz ve sıklıkla sahada insanlar bulunuyor; Çevrimiçi olarak Mozilla'dan bazıları vardı. Ayrıca Mozilla'dan biriyle kısa bir temas kurdum ve güvenlikle ilgili hususların çok hızlı bir şekilde ele alınmasının kesinlikle iyi olduğunu düşünüyorum. Daha sonra güvenlik açığı rekor bir hızla çözüldü ve güncelleme hızlı bir şekilde yayınlandı. Bu beni her zaman mutlu ediyor. Gelecekte tarayıcılar için de sistematik değişiklikler yapılması planlanıyor. Tabii bu ileride hayatımı biraz daha zorlaştıracak. Ancak, yalnızca bireysel hataları bulup düzelttiğinizde bu her zaman yel değirmenlerine karşı bir savaştır; her zaman bir sonraki hata olacaktır. Ancak insanlar “Tamam, burada sistematik bir sorunumuz var ve bu tür hataların olasılığını azaltmak için gelecekte bir şeyleri değiştirmek istiyoruz” dediğinde, bu, çalışmanızda başardıklarınızın bir nevi ödülüdür.
Az önce eserinle milyonları yaktın. Bunun için motivasyonunuz nedir? Ve insanların bir şeyleri kaçırdıkları için sinirlenmelerinden korkmuyor musunuz?
Bulgularımı en yüksek teklifi verene satarak daha fazla para kazanabileceğimi biliyorum ama bunu yapmak istemiyorum. Yazılım aynı zamanda herkes için güvenli olmalıdır. Saldırganların, hükümetler veya diğer kuruluşlar olsun, sonuçta benim yardımımla bir şeyler yapabilecekleri gerçeğinden sorumlu olmak istemiyorum. O yüzden sonradan boşluklar dolduğunda gerçekten çok mutlu oluyorum. Kimseyi çok fazla üzdüğümü düşünmüyorum. Sonuçta suçlular için bile bu tür boşlukları tespit etmek ve doldurmak hayatın bir parçasıdır. Bu nedenle, kodlarını daha güvenli hale getiren üreticilere kızmaları gerekir. Teknik açıdan bakıldığında, bir şeyi bulmak, kim olursa olsun, ilgili herkes için zorlu bir iştir. Açıkları doğrudan üreticiye ilettiğimde ve nispeten hızlı bir şekilde düzeltildiklerinde de arkamda belirli bir meşru müdafaa var. Kimse onları önce benden çalmakla ilgilenmiyor. Böylece biraz daha huzurlu uyuyabilirim.
Kişisel olarak hangi tarayıcıyı kullanıyorsunuz?
Tarayıcı hakkında önemli olan hangisini kullandığınız değil, “nasıl” olduğu çok daha önemlidir. Bir öneride bulunmak istemiyorum. Yazılımınızı güncel tutmalısınız, her bağlantıya ve benzerine tıklamamalısınız. Çoğu tarayıcıda, tam zamanında derleyiciyi devre dışı bırakmak gibi güvenliği artırmanın yolları vardır ve bu da elbette performans kayıplarına yol açar. Ancak bu derleyiciler ortak bir hedeftir. Bazı tarayıcılar artık açıkça JIT derleyicisinin devre dışı bırakıldığı ekstra bir güvenli mod sunuyor. Bu, çoğu tarayıcının ayarlarında bulunabilir. Bana göre tarayıcı aktif bir güvenlik kararının parçası değil, ancak benim için ve çoğu insan için aynı zamanda bir alışkanlık ve rahatlık meselesidir.
Nasıl başladın?
BT güvenliğinin ciddi şekilde takip edilmesine katkıda bulunan önemli bir faktör de “Bayrağı Ele Geçirme” tarzı yarışmalardı. Bunlar bazen çok benzer şeyler yaptığınız ve hataları bulmanız gereken yarışlardır. Ancak güvenlik açıkları bilerek yazılmıştır. Bu süreçte çok şey öğrendim. Halen ara sıra oynadığım bir takımım var. Bunun gibi bir şey başlamak için harika bir yardımcıdır. Yöntemlerini öğrendiğim matematik çalışmalarım da bana yardımcı oldu. Bazen yazılımın doğru olduğuna dair zihinsel olarak kanıt bulmaya çalışıyorum.
Pek çok kişinin istediği gibi hacker paragrafı henüz kaldırılmadı. Kariyerinizin başında birisinin sizi yasa dışı faaliyetlerle suçlayacağından korktunuz mu?
Kanunlar konusunda kesinlikle büyük bir dengesizlik var. Güvenlik açığı bildiren birinin yakın zamanda tekrar mahkum edildiğini görmek BT güvenlik topluluğu için utanç verici bir durumdur. İnsanların boşlukları yasal olarak güvenli bir şekilde bildirebilmesi için kanunda bazı şeylerin değişeceğini umuyorum. Özellikle “tersine mühendislik” konusu Almanya'da yasal olarak çok zor. Bir güvenlik araştırmacısı olarak telif hakkı yasasıyla çatışmaya girebilirsiniz. Şu ana kadar daha az tehlike altındaydım çünkü çoğunlukla açık kaynaklı yazılımlarla uğraştım. İlk güvenlik kusurumu Linux çekirdeğinde buldum. Bu kimseye ait bir altyapı değil.
(Mac)
Haberin Sonu