Zeroday Cloud Hacking Yarışması: Yenilikçi Bir Yaklaşım
Dijital dünyanın hızla gelişmesi, siber güvenlik alanında yenilikçi fikirleri ve çözümleri daha da önemli hale getiriyor. Zeroday Cloud isimli yeni bir hacking yarışması, açık kaynaklı bulut ve yapay zeka araçlarına odaklanarak, bu alanda yetenekli araştırmacılara büyük fırsatlar sunmayı hedefliyor. Toplam ödül havuzu 4.5 milyon doları bulan bu yarışma, siber güvenlik uzmanlarının ilgisini çekmeyi amaçlıyor.
Yarışmanın Detayları
Zeroday Cloud, Wiz güvenlik şirketinin araştırma kolu tarafından organize ediliyor. Google Cloud, AWS ve Microsoft gibi önemli iş ortaklarıyla birlikte düzenlenen bu etkinlik, 10-11 Aralık tarihlerinde, Londra’daki Black Hat Europe konferansında gerçekleştirilecek. Bu yenilikçi yarışma, araştırmacılar için çeşitli hedeflerde exploit (açık bulma) sunmaları halinde, farklı kategorilerde ödüller kazanma şansı sunuyor.
Yarışmanın katılımı, Altı ayrı kategori altında gerçekleştiriliyor:
- Yapay Zeka: Ollama ($25k), Vllm ($25k), Nvidia Container Toolkit ($40k)
- Kubernetes ve Bulut-Native: Kubernetes API Server ($80k), Kubelet Server ($40k), Grafana ($10k aut RCE, $40k pre-auth RCE), Prometheus ($40k), Fluent Bit ($10k)
- Konteynerler ve Sanallaştırma: Docker ($40k, kullanıcı sağlanan imaj, $60k rasgele imaj), Containerd ($40k kullanıcı sağlanan imaj, $60k rasgele imaj), Linux Kernel ($30k konteyner kaçışı üzerine Ubuntu)
- Web Sunucuları: nginx ($300k), Apache Tomcat ($100k), Envoy ($50k), Caddy ($50k)
- Veritabanları: Redis ($25k aut RCE, $100k pre-auth RCE), PostgreSQL ($20k aut RCE, $100k pre-auth RCE), MariaDB ($20k aut RCE, $100k pre-auth RCE)
- DevOps & Otomasyon: Apache Airflow ($40k), Jenkins ($40k), GitLab CE ($40k)
Yarışma Kuralları ve Katılım Süreci
Yarışmaya katılmak için, HackerOne platformu üzerinden kayıt olmanız ve ID doğrulamanız ile vergi formları gibi gerekli belgeleri tamamlamanız gerekiyor. Bu işlemleri 20 Kasım tarihine kadar gerçekleştirmeniz durumunda, istediğiniz kadar hedef için exploit sunabilirsiniz; ancak her hedef için yalnızca bir girişle sınırlı olacaksınız. Onaylanan exploit’lerin sahipleri, etkinlikte bunu canlı olarak göstermeye davet edilecek. Bu, hem bireysel hem de en fazla beş kişilik ekipler halinde gerçekleştirilebilecek.
Ancak, belirli ülkelerde ikamet eden kişilerin yarışmaya katılması yasaklanmıştır. Rusya, Çin, İran, Kuzey Kore, Küba, Sudan, Suriye, Libya, Lübnan ile ayrıca Kırım ve Donetsk bölgelerindeki katılımcılar bu kısıtlamadan etkilenmektedir.
Siber Güvenlik ve Etkinliğin Önemi
Zeroday Cloud’un amaçladığı, siber güvenlikteki açıkları tespit etmek ve bu konuda hem araştırmacılara hem de teknoloji şirketlerine katkıda bulunmaktır. Wiz, yarışmada ortaya konacak exploit’lerin hedefin tam anlamıyla kompromize edilmesini beklediğini açıklamaktadır. Bu da, sanallaştırma kategorisinde tam bir Container/VM Kaçışı ya da diğer hedeflerde 0-click Remote Code Execution (RCE) açığı anlamına gelmektedir.
Yarışma kurallarında, her hedef için belirlenen şartlar ve teknik kaynaklar da paylaşılmaktadır. Docker konteyneri içinde varsayılan yapılandırma ile test edilmesi amaçlanan hedefler, araştırmacıların exploit bulma süreçlerine yardımcı olacaktır.
Etkileşim ve Eleştiriler
Zeroday Cloud’un duyurusu, uzun zamandır başarı ile devam eden Pwn2Own hacking yarışması organizatörleri tarafından eleştirildi. Trend Micro, Wiz’i Pwn2Own İrlanda’nın kurallarını kopyalamakla suçladı. Trend Micro’nun Siber Güvenlik Stratejisi ve Teknolojisi Direktörü Juan Pablo Castro, iki etkinlik arasındaki kuralların “hurda kelime kelime” kopyalandığını ifade etti. Wiz, bu eleştirilere yanıt olarak, Pwn2Own’un kural kitabının “güvenilir, olgun bir çerçeve” olduğunu kabul etti ve bu durumdan esinlendiklerini bildirdi.
Zeroday Cloud’un böyle tartışmalara neden olması, siber güvenlik dünyasında kuralların ne kadar dinamik olduğunu ve yenilikçiliğin önemini bir kez daha gözler önüne seriyor. Yarışmalar, sadece yetenekli araştırmacılar için fırsatlar sunmakla kalmayıp, aynı zamanda güvenlik açıklarının belirlenmesine yönelik yenilikçi yaklaşımları da teşvik ediyor.
