S4M Security

  Merhaba,

Bu yazıda herkesin az çok hakkında fikir sahibi olduğu ama asla tam tanımının yapılamadığı bir teknolojiden ve bunun zafiyetlerinin açabileceği sonuçlardan bahsedeceğim.

Evet. Bu teknolojinin başlıktan anlaşılacağı üzere, API. 

Api nedir?

API en basit teknik anlamda, API(Application Programming Interface) ayrı programların ortak ve anlışabilir biçimde bir bütün olarak çalışılmasını sağlamaktadır. Yani mesela, Trendyol isimli firmanın sitesine kendi masaüstü yada mobil uygulamanızdan tek tıkla stok yüklemenizi arka planda API sağlamaktadır. Ve genelde XML, JSON gibi veri transfer ve işaretleme dilleri ile taşınarak sisteme yüklenmesini sağlamaktadır.

 Bu programcının, programını çok yönlü ve erişilebilir ve adapte edilebilir yapar. Kullanıcıyı büyük yüklerden kurtarır. Örneğin: Bir perakende işletiyorsunuz ve yüzbinlerce ürününüz var. Tamda bu durumda kullanıcı sizin programı kullanıyor perakende de ama bir web sitesi yaptırdı. Ve bu siteyede ürünleri yükleyerek internet satışı yapmak istiyor…

Bu kullanıcı için kabus niteliğindedir. Senelerce kullandığı sisteme ek birde webe yükleme yapacak oradan takip edecek vb. İnanın en az 1,5 senesi bitti ilgili kişinin. Tamda bu sırada web sitesinin API desteği varsa 3. parti bir yazılım ile XML yada JSON gibi belirli formatta verileri otomatik ekleyen ve siparişleri aynı şekilde formatta alıp çözümleyip programınıza atan bir sistem yapmışsanız kullanıcı için kahraman oluyorsunuz. 🙂 

Peki API Bu Kadar Masum Mu?

Biliyorsunuz ki 2020 yılı garip bir sene. Avusturalya yangınları, Covid-19, depremler ve niceleri. Ha birde NASA uzaylıları onayladı… Ne biçim bir yıl inanın bende tam anlayamadım. Derken birde Twitter’da bir manşet…

Elon Musk, Jeff Bezos, Bill Gates ve daha niceleri. Bu kadar önemli kişilerin bu kadar kolay şekilde heaspların ele geçirilmiş olması… 2 Faktörlü kimlik korumaları, yedek mail hesapları, onay bazlı hesap korumaları, mesaj kod korumaları niceleri… Nerede?

Evet, hikayeyi size bizatihi olarak mağdur Twitter firmasından ve konu ile ilgili Adli Bilişim Uzmanları ağzından anlatayım.

Sosyal Mühendislik

Saldırganlar öncelikle, sosyal mühendislik ile Twitter çalışanlarını hedef almakta. Saldırı şekli hakkında tabi ki detaylı bilgi basından gizli tutulmakta ve bu duruma neden olan personeller hakkında bilgi verilmemekte. Ancak API çalışabilmesi için onay mekanizması mevcuttur. Kullanıcı yani bir programcı API için bir çalışma yapacaksa bunun için ilgili sistemden onay almalı. 

Bunun için genelde kullanıcı adı ve şifre gibi ayrıcalıklı ve bilinmesi çok zor olan bir takım bilgileri APIye gönderilerek istek talep için çalışma onayı alınır. API ilgili onayı verdiğinde içinden veri alabilir, yada veri gönderebilir. Benim görüşüm bu organize saldırının sosyal mühendislik kısmı bu gibi teknik bilgileri çalmak için kullanılmakta.

API İçinde Veri Alma/Gönderme

Bir API de yeterli yetki ve ayrıcalığa erişmişseniz, sayfada cinsel içerikli videolar, kullanıcı bilgileri ve bir çok şeye erişiminiz açılır. Saldırganlarda bundan faydalanmış olacak ki Twitter firması ilgili 130 kadar çalınan hesaplar için paylaşımı kapatmalarına rağmen saldırganlar adeta dalga geçer gibi paylaşım atması buna işarettir.

Ortalama 12,86 BTC ile BitCoin cüzdanlarına para yükleyerek gizemlere karıştı. Özgür paylaşım ve kullanıcı bilgilerine hasssas yaklaşan dev firma Twitter’ın bu mağduriyeti elbette üzücü. Çünkü büyük güven problemi yaşatmasına karşılık pek çok kullanıcı hala devam etmekte kullanmaya. 

Twitter’da diğer firmalarda bu durumdan bir ders çıkarmalı ki ne kadar büyük olursa olsun her zaman bir zaafiyete sahip olabilecekleri ve bir şekilde keşfedilme ihtimalleri olduğudur.

Sözün özü, sanal dünyada %99,99 güvenlik olsa dahi %00,01’lik kısım her zaman olacaktır. Ve bunun kaynağı da insan olacaktır.

Bol bilişimli günler. 🙂