Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı
Evren Yalçın - Fatmagül Ergani - Kurumsal firmalar için hata avcılığı
- 1. Kurumsal firmalar için hata avcılığı Evren YALÇIN&Fatmagül ERGANİ Superbug Bilgi Güvenliği մDZܱğ
- 2. Ajanda ● Hata nedir, nasıl ortaya çıkar? ● Nasıl hata avcılığı yapılır? ● Kurumlar için hata avcılığı?
- 3. Acil Durum ● Müşteri&Patron Bekliyor! ● Çalışsın yeter!
- 4. Konfor Alanı 1- Üretim esnasında oluşan hata 2- Üretimden sonra oluşan hata
- 5. Hata-1 $s = Ben bir değişkenim $sayi = Ben bir sayıyım
- 6. CamelCase ● Kimyasal bileşiklerin ifadesi için icad edilmiştir. Örn : toplamSiparisSayisi, personelAd
- 7. Hata -2 ● MVC Çatısı kullanmak... ● Güncellemelere dikkat etmemek...
- 8. Hata avcılığı nedir? ● Firmaların sistemlerinde bulduğunuz güvenlik açıklarını kendilerine bildirmeniz karşılığında ödül kazandığınız ( Para , Eşantiyon, Onur listesi vb gibi... ), karşılıklı güvene dayalı bir organizasyondur.
- 9. Kim Bunlar? ● Nakit Para ● Şöhret ● Pratik Yapmak
- 10. Tercih Sizin ● Sızma testi yapan firmalar ● Dünyanın dört bir yanında sızma testi yapan kişiler
- 11. Niye yaptırmalıyız? ● Hata avcılığı programı ile yetenekli kişilere ulaşma şansınız artar. ● Masraflı değildir. ● Otomatize araçlara olan bağımlılık azalır.
- 12. Sorunlar? ● Uluslararası bir takım legal problemler ● Hataların giderilmesi için yoğun takım çalışması ● False Positive ( Zafiyetin olmama durumu ) ● Doğru bir şekilde işlemeyen süreçler ● Hacker dedikoduları
- 13. Üçe ayrılır ● Farkedenler ● Farketmeye çalışanlar ● Farketmeyenler
- 14. Yahoo Örneği
- 15. Yahoo Örneği -2
- 18. Samsung -1
- 19. Samsung -2 ● Bir zafiyet sadece kurumun altyapısına sızabildiğini göstermek amacıyla istismar edilebilir. ● Sistemde bulunan bir zafiyet internal sisteme ulaşmaya sebep olacağı için POC kodu zafiyetin ispatı açısından yeterlidir.
- 20. Nereden Başlarım? ● Facebook & Dropbo/slideshow/evren-yaln-fatma-gl-evgani-kurumsal-firmalar-iin-hata-avcl-34480895/34480895/x
- 21. Saldırı Vektörü &#/slideshow/evren-yaln-fatma-gl-evgani-kurumsal-firmalar-iin-hata-avcl-34480895/34480895/x27;"><img src=/slideshow/evren-yaln-fatma-gl-evgani-kurumsal-firmalar-iin-hata-avcl-34480895/34480895/x onerror=alert(document.domain)>.t/slideshow/evren-yaln-fatma-gl-evgani-kurumsal-firmalar-iin-hata-avcl-34480895/34480895/xt
- 22. Bu kadar basit
- 23. Takip et! ● “Bir zafiyet buldum” sosyal hesaplarını ve blogunu takip altına al Aynı zafiyetin olma ihtimali var...
- 24. Sonuç? Samsung Smart Tv servislerinde milyonlarca cihazı etkileyen 2 adet zafiyet... Etkilenen Servisler : Samsung Apps Samsung Books Samsung Learning ChatON (100 milyon kullanıcı) Family Story Samsung Link Telefonumu bul Samsung Hub Etkilenen Cihazlar : Samsung Akıllı Telefonlar Tabletler