Zonguldak Bülent Ecevit Üniversitesi (BEUN) Bilgisayar Mühendisliği Kısmı Öğrencisi Yusuf Nas (22), NASA’nın kullanıcı sisteminde kritik bir güvenlik zafiyeti tespit edip kapatılmasına katkı sağlaması üzerine takdir mektubu ile ödüllendirilerek onur listesine dahil edildi.

Zonguldak Bülent Ecevit Üniversitesi (BEUN) Bilgisayar Mühendisliği 4’üncü sınıf öğrencisi Yusuf Nas, NASA’nın düzenlediği güvenlik ihlali tespit aktifliğine katıldı. İki aylık çalışmanın akabinde Nas, yalnızca e-posta adresiyle, rastgele bir süreç yapılmadan farklı bir kullanıcı hesabının devralınabildiğini tespit etti. Nas, durumu ayrıntılı NASA’ya bildirdi. Üç ay boyunca NASA uzmanlarıyla birlikte çalışarak zafiyetin kapatılmasına katkı sağladı. NASA, Yusuf Nas’a takdir mektubu gönderdi ve ismini onur listesine ekledi.

“Hesap devralma zafiyeti tespit ettim”

Nas, bulduğu açığın teknik ayrıntılarını paylaşarak sürecin kıymetini vurguladı. Tespit ettiği zafiyetin, kullanıcıların hesaplarına hiçbir etkileşim olmadan erişim sağlanmasına neden olduğunu belirtti. Rastgele bir tıklamaya gerek kalmadan NASA’nın sistemine kayıtlı kullanıcının hesabının ele geçirilebildiğini anlatan Nas, “Yaklaşık 3 yıldır siber güvenlikle ilgileniyorum. Bu alanda kendimi geliştiriyorum. Yakın vakitte NASA’nın sistemlerinde de zafiyet buldum. Bu zafiyet şöyle bir zafiyet. Siz kendi hesabınızdan farklı hesaplara geçiş yapabiliyorsunuz. Biz de buna account takeover olarak nitelendiriyoruz. Sizin bir hesabınız var diyelim farklı hesaplara erişiminiz yok farklı hesaplara erişiminiz olmasını sağlıyor yani aslında farklı hesabı devralmak diyebiliriz aslında biz buna. Şöyle oluşuyor. Zero click ismini verdiğimiz bir zafiyet tipi var. Bu zafiyet tipi karşı tarafın rastgele bir tıklamaya gerek kalmadan hesabının ele geçirilmesi manasına geliyor. Bazen SMS gelir, ziyanlı linkler gelir, bunları tıkladığınızda kimi datalarınız çalınır. Bunlar zero click değildir mesela. Bunlar bir tıklamaya gereksinim duyar. Lakin benim bulduğum zafiyette karşı tarafın hiçbir biçimde tıklamasına gerek kalmadan hesap devralma zafiyetiydi. Bu esasen bu yüzden kritik bir zafiyet olarak nitelendirildi” dedi.

NASA ile yürütülen süreç üç ay sürdü

Nas, NASA’ya Haziran ayında gönderdiği raporun akabinde üç ay boyunca uzmanlarla bağlantıda kaldı. Zafiyetin kapatılması için teknik dayanak sundu ve süreci birlikte yönetti. Nas, “NASA’nın şöyle bir de siyaseti var. Şayet zafiyet bulup bunu bize bildirirseniz ve geçerli bir zafiyetse biz size ödül veriyoruz diyor. Şöyle bir süreç işledi. Ben bu zafiyeti buldum. Uzun müddettir esasen bu alanla ilgileniyordum. NASA’ya bunu bildirdim. Haziran ayında bu raporu gönderdim. NASA bu raporu inceledi ve geçerli bir zafiyet olabileceğine karar verdi. Ben de yaklaşık 3 aylık süren süreçte NASA’ya ek bilgiler gönderdim. Kendi istedikleri doğrultuda çalışmalar yaptım. NASA’nın zafiyet kapatma basamağına aslında yardım ettim diyebiliriz” diye konuştu.

NASA sistemine kayıtlı kullanıcıların dataları risk altında kaldı

Nas’ın tespit ettiği açık, kullanıcıların şahsî bilgilerine erişim sağlanmasına imkan tanıdı. NASA’nın aktiflik sistemine kayıtlı kullanıcıların konut adresi, telefon numarası üzere hassas bilgileri bu açık nedeniyle tehlikeye girdi. Nas, süreci şöyle aktardı:

“Zafiyeti gönderiyorsunuz. Nasıl kapatılacağını anlatıyorsunuz. NASA’da bu yönergeye nazaran size şayet hakikaten başarılı bir biçimde bu süreç tamamlarsanız bir onur evrakı veriyor. Bir de onur listesine ekliyor. Ben de bunları almaya hak kazanıyorum. NASA’nın sistemlerinde bir kullanıcı girişi var. NASA bu kullanıcılara kendi aktifliklerine katılma fırsatı veriyor. Siz şayet NASA’nın çalışanı değilseniz sisteme kayıt yapmanız lazım. Bu kullanıcılar sisteme giriş yaparken de mesken adresi, isim, soy isim, telefon numarası üzere hassas datalar olarak isimlendirdiğimiz bilgileri kaydediyor aslında. Benim bu zafiyetimde farklı bir hesabı devralmaya yönelik olduğu için farklı kullanıcıların istediğim kullanıcının aslında mesken adresi olsun, telefon numarası olsun bunları ele geçirmeme olarak sağlıyordu. Data ihlali sınıfına girdiği için de NASA bunu biraz ciddiye aldı ve bu süreci birlikte yönettik. Üç aylık süreçte kendilerine verdiğim bilgiler işte mesela zafiyeti kapattık diyorlar ancak ben tekrar inceliyorum kapanmamış. Farklı bir halde tetiklenebiliyor. Ben bunu tekrar söylüyorum. Bu sefer farklı bir metot izliyorlar. Bu süreç bu yüzden 3 ay sürdü. Bazen 3 ay sürmeyebiliyor. Sonunda nitekim bu türlü bir zafiyet oldu.”

“Hayalimi gerçekleştirdim”

Nas, elde ettiği başarıyı üniversitesiyle paylaştı. Okulunun dayanağını aldığını ve bu sürecin kendisi için manevi bir kıymet taşıdığını söz etti. Kendisinden sonra başlayanlara da “çalışmayı” tavsiye eden Nas kelamlarını şöyle tamamladı:

“Ben de okulumla paylaştım. Okulum da bunu ciddiye aldı ve çok tebrik etti beni. Çok dayanak oldular. Benim işime çok onur verici bir şey oldu. Ben aslında bu alanda uzun müddettir ilgileniyordum. Farklı şirketlerde zafiyetler bulup mükafatlar aldım. Fakat NASA kadar büyük bir çapta bir şirket olmamıştı açıkçası yani maddi açıdan ödül aldığım oldu ancak bu NASA’dan aldığım onur mektubu benim için manevi bir armağan üzere oldu. Benim hayalimdi ve hayalimi gerçekleştirdim. Çok keyifli oldum bu yüzden. Bu olan sahiden beşere hoş şeyler verebiliyor. Benim de öğrenciyken bu türlü bir şey almam beni çok keyifli etti. Bu alanda ilerlemek için biraz daha teşvik oldu diyebiliriz. Bu alanda ilerlemek isteyen arkadaşlarıma da çalışmayı bırakmamalarını tavsiye ederim. Yani çalıştıktan sonra her şey oluyor. Tahminen benden çok daha yeterliler var. Benden daha yeni başlayan, daha düşük düzeyde olanlar var. Bu işin çalışmak. Çalıştıktan sonra her şey olabiliyor.”

Konuyla ilgili açıklamalarda bulunan Zonguldak Bülent Ecevit Üniversitesi Rektörü Prof. Dr. İsmail Hakkı Özölçer, Yusuf Nas’ın muvaffakiyetinin yalnızca BEUN için değil, ülkemiz ismine da gurur verici olduğunu vurgulayarak kelamlarında şu sözlere yer verdi:

“Cumhuriyetimizin birinci üniversitelerinden biri olan Zonguldak Bülent Ecevit Üniversitesi, bilimsel üretim ve genç yeteneklerin yetişmesi noktasında her geçen gün daha da güçlü adımlar atmaktadır. Öğrencimiz Yusuf Nas’ın, NASA üzere dünyanın en itibarlı kurumlarından birinin siber güvenlik açıklarını tespit ederek hem takdir edilmesi hem de Onur Listesi’ne alınması, üniversitemizin bilimsel altyapısının ve eğitim kalitesinin en somut göstergesidir. Bu his ve kanılarla başta öğrencimizi yetiştiren çok değerli akademisyenlerimize teşekkür ediyorum. Böylesine gurur verici bir muvaffakiyete imza atan bedelli öğrencimiz Yusuf Nas’ı ise canı gönülden tebrik ediyor, çalışmalarında muvaffakiyetlerinin devamını diliyorum.”

Rektör Prof. Dr. Özölçer açıklamasında ayrıyeten gençlerin teknoloji, bilişim ve savunma sanayii üzere stratejik alanlarda yetişmesinin ülkenin geleceği açısından büyük kıymet taşıdığına dikkat çekerek, Yusuf Nas’ın muvaffakiyetinin başka öğrencilere de ilham kaynağı olacağını belirtti.