Depok Student története a NASA rendszerében való rés megtalálásáról: a kíváncsiságból kiindulva
Mintha a forgatást szeretik. A NASA ezzel egy időben megnyitotta VDP-t (Vulnerability Disclosure Program), amely lehetővé teszi a nyilvánosság számára, hogy legálisan tesztelje rendszereik biztonságát. Rakha számára ez nem jelent ijesztő kihívást. Ehelyett lehetőségként tekintett rá.
„Csak szórakozásból, mert a NASA megnyitotta a VDP programot, így mi is kipróbáljuk” – mondta.
Ez a szórakozás érzése nyilvánvalóan arra késztette Rakhát, hogy egy komolyabb folyamat felé lépjen. A NASA különféle digitális eszközeiben keres, beleértve a nyilvánosan elérhető dokumentumokat is.
A kitartással felvértezve Rakha végre talált egy kiskaput valamiben, ami közönségesnek tűnt. Valójában általában a digitális rendszerekben a hiányosságok keresése nagyon bonyolult, mivel tele vannak kóddal.
„Valójában a dokumentumot nyilvánosan teszik közzé, és a nyilvánosság is elolvashatja, de ha egy sebezhetőséget talál, az nagyon jó érzés” – mondta.
A Google Dorking módszerével különféle információkat gyűjtött a NASA domainjeiről és digitális eszközökről. Innentől talált egy törött link eltérítésnek (cyber attack) nevezett rést.
„Igaz, amit találtunk, az a Broken Link Hijacking, egy sebezhetőség, amely az elhalt hivatkozásokat helyettesíti, ezért visszaszereztük a linket. A sérülékenység felderítéséhez először a NASA domainjeiről és eszközeiről gyűjtöttünk információkat, így a Google Dorking módszerével találtuk meg” – folytatta.
Amikor rájött a megállapításaira, Rakha nem érezte magát azonnal meggyőzőnek. Még mindig voltak benne kétségek.
„Nagyon boldognak éreztem magam, mert rájöttem, hogy potenciális biztonsági rések vannak. Akkoriban azonnal jelentést akartam tenni a biztonsági résekről a NASA-nak” – mondta.
Amikor azonban rájött, hogy a kiskapunak ekkora hatása lehet, érzelmei még vegyesebbek lettek. Még a bejelentési folyamat során elismerte, hogy még mindig bizonytalanság tölti el.
„Tulajdonképpen, amikor megtaláltam, egyszerre voltam boldog és kételkedő, boldog, mert biztonsági rést találtam, de kételkedtem abban is, hogy a jelentést el lehet-e fogadni vagy sem” – mondta.
