Yeni bir teknoloji ortaya çıktığında, siber suçlular ve dolandırıcılar, kendileri için neler yapabileceğini görmek için neredeyse anında onunla ilgilenirler.
Akıllı telefonlar ve Nesnelerin İnterneti, birkaç isim vermek gerekirse, giderek yaşam tarzımızın bir parçası haline geliyor ve bu teknolojilerin tümü, parolaları, kişisel bilgileri , banka bilgilerini ve daha fazlasını çalmak isteyen kötü niyetli bilgisayar korsanlarının hedefi haline geliyor.
Metaverse ve sanal gerçeklik, çevrimiçi yaşamanın, çalışmanın ve oynamanın yeni bir yolu olarak ortaya çıktıkça, bu platformlar, donanım ve yazılımdaki güvenlik açıklarını bulup kullanmak isteyen veya belki de dolandırıcılıklarına hizmet etmek için teknolojiyi kullanmak isteyen siber suçlular için hızla hedef haline gelecek.
Bugün, metaverse oluşturma projelerine büyük meblağlar yatıran Facebook sahibi Meta, güvenlik araştırmacılarından Meta Quest, Meta Quest Pro ve Meta Quest Touch Pro gibi metaverse ile ilgili ürünlerdeki güvenlik açıklarını ve sorunları belirlemelerini isteyerek bilgisayar korsanlarının önüne geçmek istiyor. . Güvenlik açıklarını bulmanın ödülleri yüzbinlerce doları bulabilir.
Ekipmana aşina olun
Facebook’un 2011’den beri web uygulamaları için bir hata ödül programı var, ancak metaverse, Meta’nın iş stratejisinin önemli bir ayağı olsa da, şirket donanım geliştirme konusunda nispeten yeni.
Şirket, siber güvenlik uzmanlarını meta veri deposunu “hacklemeye” teşvik ederek ürünlerinin güvenliğini herkes için artırmayı amaçlıyor.
“Önceliklerimizden biri, meta veri deposunu güvence altına alma yolculuğumuzda harici araştırma topluluğunu bizimle daha fazla entegre etmektir. Bu, birçokları için görece yeni bir alan olduğundan, teknolojiyi hata avcıları için daha erişilebilir hale getirmek ve geçerli raporları daha hızlı göndermelerine yardımcı olmak için çalışıyoruz,” diyor Meta Güvenlik Analistleri ve hata ödül programı Başkanı Neta Ören.
Bu çalışmanın arkasındaki stratejinin bir kısmı, güvenlik araştırmacılarını ve etik korsanları Meta’nın VR kulaklıkları hakkında eğitmektir; bu, hata avcılarının ürünlere aşina olmalarını sağlayan, böcek ödülü odaklı bir güvenlik konferansı olan Meta BountyCon ile yapılmıştır.
Çeşitli ödüller
Meta, en son ürünleri olan Meta Quest Pro ve Meta Quest Touch Pro denetleyicilerinin hata ödül programı için uygun olduğunu vurgulamak için hata ödülü şartlarını güncelledi ve Meta Quest Pro’ya özgü hatalar da dahil olmak üzere sanal gerçeklik teknolojisi için yeni ödeme yönergeleri ekledi.
Ve Meta’nın sanal gerçeklik ve metaverse teknolojisindeki güvenlik açıklarını keşfedenler için mali ödüller yüzbinlerce doları bulabilir.
bu ödeme kuralları Bir saldırganın kötü amaçlı yazılım çalıştırmasına veya bir cihazın denetimini ele geçirmesine izin verebilecek güvenlik açıkları olan mobil uzaktan kod yürütme hatalarını keşfetmenin ödemelerinin nasıl 300.000 ABD Dolarına ulaşabileceğini, hesap ele geçirme güvenlik açıklarını ortaya çıkaran araştırmacıların ise 130.000 ABD Dolarına kadar ödüllendirilebileceğini ayrıntılarıyla açıklayın.
Mali ödüller yüksek çünkü Meta, şirketin sanal gerçeklik tekliflerine hiç bakmamış olabilecek bilgisayar korsanlarını teşvik etmek istiyor. Neta Ören, “Araştırmacıların çabalarına öncelik vermelerine ve platformumuzun en önemli alanlarından bazılarına odaklanmalarına yardımcı olmak istiyoruz” diyor.
Hata ödül sistemi, önceden bilinmeyen birkaç güvenlik açığını zaten ifşa etti.
Kusurlar zaten düzeltildi
BountyCon’a gönderilen bir ifşa, Meta Quest’in oAuth akışında – web sitelerinin veya uygulamaların diğer web sitelerindeki kullanıcı bilgilerine erişmesine izin vermek için kullanılan açık bir standart – bir saldırganın bir kullanıcının erişim belirtecini ve hesabını kontrol altına almasına izin verebilecek bir sorunu ortaya çıkardı. iki tıklama.
“Bu sorunu düzelttik ve araştırmamız kötüye kullanım kanıtı bulamadı. Bu raporu, güvenlik açığının etkisini yansıtan toplam 44.250 ABD Doları ile ödüllendirdik,” diyor Neta Ören.
Başka bir araştırmacı, bir saldırganın, birinin telefon numarasını doğrulamak için gereken doğrulama kodunu zorlamak için hız sınırlayıcı bir sorundan yararlanarak SMS tabanlı 2FA sistemini atlamasına izin verebilecek bir güvenlik açığı keşfettikten sonra 27.200 $ ile ödüllendirildi. Güvenlik açığı, açıklandıktan sonra da yamalandı.
Bu güvenlik açıkları, Meta’nın geliştirmeye devam etmek istediği bug bounty sistemi olmadan en azından bu kadar hızlı keşfedilmemiş olabilir.
Neta Ören, “Kod üzerinde olabildiğince fazla gözetlemek, ürünlerimizi test etmeye devam etmek ve onları daha güvenli hale getirmek için dış topluluktan gelecek her türlü katkıyı memnuniyetle karşılıyoruz” diyor.
Erdemli araştırma topluluğu
Metaverse bug bounty programı, bazıları on yıldır yürürlükte olan diğer mevcut Meta programlarının izinden gidiyor. Şirket ayrıca, metaverse ve diğer Meta platformlarının siber tehditlere karşı mümkün olduğunca güvenli olmasını sağlamak için bir dizi bilgi güvenliği ekibine sahiptir.
Bunlar arasında ürün güvenlik incelemeleri, bir tehdit modelleme ekibi, şirkete karşı penetrasyon testleri yapan bir saldırgan ekibi ve hata giderme programına eklenen daha fazlası yer alır. Meta, piyasaya sürülen herhangi bir ürünün mümkün olduğu kadar çok tehdide karşı mümkün olduğunca güvenli olmasını sağlamak için tüm bu çabaları birleştirir.
Neta Ören, “Yıllar boyunca öğrendiğimiz ve yeni ürünler oluştururken uyguladığımız tüm şeyler bunlar, bu nedenle yeni ürünler zaten tüm bu önlemleri içeriyor” diye açıklıyor Neta Ören.
Ortaya çıkan yeni güvenlik açıkları araştırılıp azaltıldıktan sonra, ürünlere güvenlik güncellemeleri dağıtılır. Güvenlik açıklarını gideren güvenlik güncellemelerinin uygulandığından emin olmak için Meta’nın VR ürünleri, lansman sırasında güncellemeleri otomatik olarak kontrol eder ve ardından bunları uygular.
“Sektördeki herkesin onlardan öğrenebilmesi için bu hataları herkese açık olarak paylaşıyoruz. Büyük bir şirket bu tür şeyleri yayınladığında, diğer şirketlerin kendi içinde benzer bir şey araması yaygın bir durumdur,” diyor Neta Ören. Ve harici arama yapanlar Meta ürünlerle sınırlı olmadığından, Meta Quest Pro’da veya başka bir Meta cihazda bir şey bulurlarsa başkaları tarafından yapılmış benzer ürünlere de bakmaları muhtemeldir.
“Araştırmacılarımızın sadece Meta’yı araştırmadığını biliyoruz. Yani bizde bir hata bulurlarsa, gidip rakiplerimizden alıp onlara da bildirebilirler” diyor Neta Ören. “Bu yüzden eğitimin çok önemli olduğunu düşünüyoruz, çünkü araştırmacılar bizimle öğrendikleri her şeyi avlanırken diğer şirketler için uygulayacaklar” diye ekliyor.
Kaynak : ZDNet.com