1 Kasım 2010 Haberi
Açık kaynak projesi olan Chromium, 2010’un ocak ayında açık bulanları ödüllendirmeye yönelik bir çalışma başlatmıştı. Aylar içerisinde bir çok araştırmacı çeşitli açıklar bulmaları sebebiyle ödüllendirildi. Ödül alanların bir kısmını bu adreste görebilirsiniz. Bunun sonucunda araştırmacılar tarafından çok kaliteli raporlar bildirildi ve tüm bu gayretler, milyonlarca kullanıcısı olan Chromium tarayıcısını daha güvenilir hale getirdi.
1 Kasım 2010 itibariyle, Google’a ait web servislerindeki güvenlik zaafiyetlerinin tespitine yönelik yeni bir ödüllendirme programı başlatıldı. Google zaten çekirdekten birçok araştırmacıya sahip ve bazı güvenilir kaynaklardan da önemli raporlar alıyordu. Google’a katkıda bulunmak isteyen diğer kullanıcılara yönelik bir teşekkür olarak görülen bu ödüllendirme programı, hem bir çok yeni araştırmacının ilgisini çekecek, hem de Google kullanıcılarını daha güvenli halde tutacak.
Yeni başlatılan bu programa ait bazı sorular ve cevapları:
Soru: Google’a ait hangi uygulamalar ödül kapsamında olacak?
Cevap: Önemli kullanıcı bilgilerinin görüntülendiği ve kullanıcı hesaplarının işin içine girdiği herhangi bir Google uygulaması bu ödül kapsamında olabilir. Örnek olarak:
* *.google.com
* *.youtube.com
* *.blogger.com
* *.orkut.com
Şimdilik Android, Picasa, Google Desktop gibi istemci uygulamaları, bu kapsama dahil değiller. Belki ilerde bu kapsama onlar da girebilirler.
Soru: Ne tür açıklar ödül kapsamında?
Cevap: Aslında ödüllendirilecek açıkların kesin bir listesini yapmak zor ama kullanıcı gizliliğini tehdit eden herhangi ciddi bir açık bu ödül kapsamında olacak. Ödüllerin bir çoğu aşağıdaki kategorileri kapsayan açık türleri üzerinde yoğunlaşacak:
* XSS
* XSRF / CSRF
* XSSI
* Yetkilendirme kontrollerinin bypass edilmesi(Örneğin A kullanıcısının, B kullanıcısının özel verilerine ulaşabilmesi)
* Server tabanlı kod çalıştırılması veya kod enjeksiyonu
Aşağıda sıraladığımız açıklar ise tamamen ödül kapsamı dışındadır:
* Google altyapısına karşı yapılacak olan saldırılar
* Sosyal mühendislik ve fiziksel saldırılar
* DoS açıkları
* Web ile ilgili olmayan açıklar, istemci uygulamaları da dahil
* SEO çözümleri için siyah şapkalı hacker teknikleri
* Henüz yeni geliştirilmiş Google özelliklerine ait açıklar
Soru: Bu açıkları kanıtlarken hedef olarak kimleri seçelim?
Cevap: Bu açıkları gösterirken lütfen ya kendi hesabınızı ya da test olarak oluşturduğunuz hesabı kullanın. Asla başkalarının verilerine ulaşmaya çalışmayın.
Soru: Açık buldum. Nasıl rapor edeceğim?
Cevap: İrtibat için gerekli bilgiler bu adreste. Linkte verilen e-posta adresini lütfen Google hizmetlerine ait bir açık bulduğunuz durumda meşgul edin. Hesabınızla ilgili problemleri Google Yardım Merkezine bildirin.
Soru: Ne gibi ödüller kazanabilirim?
Cevap: Minimum ödül 500 Dolar. Eğer oluşturulan özel kurul, açığın özel ve tehlikeli bir açık olduğunu düşünürse ödül 3133 Dolara kadar çıkabilir. Mesela kurul, raporlanan tek bir açığın yol açabileceği bir çok zarara göre ödülü yükseltebilir veya raporlanan bir çok açığın tek bir zarara yol açabileceğini düşünerek ona göre bir ödül düzenlemesi yapabilir.
Bazı araştırmacılar parayı çok da önemsemiyorlar. Onun için de bir yol düşünülmüş. Google, bu araştırmacılara kazandıkları ödülü yardım kuruluşlarına bağışlamaları için bir seçenek sunmuş.
Ödül kazanıp kazanmadığına bakılmaksızın, açıkları raporlayan tüm araştırmacılar Google nezdinde saygı değer olacaklar. Bu yapıcı tutum, yeni bir açık bulanlar sayfasında kayıtlara geçecek. Gelen açık raporları, bu sayfada o açığı bulan kişi ile birlikte adeta ölümsüzleşecek.
Soru: Açığımın ödül kazanıp kazanmadığını nasıl öğreneceğim?
Cevap: Google Güvenlik Takımından gönderdiğiniz e-postaya karşılık durumu özetleyen bir e-posta alacaksınız.
Soru: Ya aynı açığı başka birisi daha bulduysa?
Cevap: Açığı en erken gönderen ödül kapsamında düşünülecek.
Soru: Google geliştiricileri henüz açığı kapatmamışken, elimizdeki açığı ifşa edersek değerlendirme kapsamına girebilir miyiz?
Cevap: Açığı düzeltme amaçlı yapılacak olan girişimler hariç tutularak, yapılacak olan diğer işlemler sonucu açığınız ödül kapsamına alınmayacak.
Soru: Eğer web güvenlik açığı Google tarafından düzeltildikten sonra bu açığı ifşa edersek değerlendirme kapsamına alınabilir miyiz?
Cevap: Elbette. Google her zaman girişimciliği ve açık kaynağı teşvik eder. Ayrıca yukarıda belirttiğimiz gibi güvenlik açıklarını rapor edenler sayfasında da isminiz olacak.
Soru: Nitelikli bir güvenlik açığı olup olmadığına kim karar verecek?
Cevap: Chris Evans, Neel Mehta, Adam Mein, Matt Moore ve Michal Zalewski’nin de içinde bulunduğu Google Güvenlik Takımı’nın üyeleri buna karar verecek.
Bu olay, yarışma gibi bir şey değil. Yani Google, bu ödül programını istediği zaman sonlandırabilir. Ödülün verilip verilmeyeceğine dair son söz Google’a aittir. Bu arada yapacağınız araştırmaların herhangi bir kanunu ihlal etmeyeceğini, size ait olmayan kişisel bir veriyi elde edip kullanmamanız gerektiğini bir daha hatırlatalım.
Kaynak: http://googleonlinesecurity.blogspot.com/2010/11/rewarding-web-application-security.html
Çeviri: Serdar BARAKLI