Pastanın üstündeki vişne: Ödül avcılığı (Bug Bounty)

Dünyada uzun bir süredir devam eden ödül avcılığı programları (bug bounty) ülkemizde daha da popüler bir hal almaya başladı.

Öncelikle ödül avcılığının ne olduğundan bahsetmek yerinde olur diye düşünüyorum. Ödül avcılığı programı firmaların sistemlerinde bulduğunuz zafiyeti ilk olarak onlara bildirmeniz karşılığında ödüllendirildiğiniz bir yapı. Bu ödül ciddi miktarlarda para ödülleri olabildiği gibi firmanın kendine ait tişört, bardak vs. gibi eşantiyonlar, hatta bazı durumlarda ise sadece firmanın web sitesinde bir bölümde size teşekkür edilmesi şeklinde de olabiliyor.

Ödül avcılığının en önemli avantajlarından biri dünyanın herhangi bir yerindeki bir araştırmacı sisteminizde herkesin gözünden kaçan bir zafiyet bulmasına imkan sağlaması. Geleneksel sızma testi yaklaşımında yapılan testin kalitesinin kısıtlı bir ekibin yetenekleri ve tecrübeleri ile orantılı olduğunu düşünürsek bu konuda ciddi bir avantaja sahip. Gördüğüm kadarıyla firmanın ölçeğine bağlı olarak bazı yerlerde güvenlik ekibi, sızma testi ve ödül avcılığı yaklaşımı olabildiği gibi bazı yerlerde sadece ödül avcılığı programının yeterli olacağı düşünülmekte. Naçizane tecrübelerim neticesinde ben ödül avcılığını bir cupcake’in üstündeki vişneye benzetiyorum. Bu sebeple birbirinin muadili gibi davranmak yerine bunları bütünleştirmek en doğru yaklaşım.

Bugün firmaların kendi ekipleriyle bu işi organize edebildikleri örnekler olduğu gibi, BugCrowd ya da HackerOne gibi bunu size hizmet olarak sağlayan oldukça güzel platformlar da mevcut. Birçok programda eskiye nazaran şeffaflık daha ön planda. Bu da zamanla oluşan sıkıntılardan, özellikle bu zafiyetleri bulup bildiren ve daha önce bildirildiği sebebiyle ödüllendirilemeyen kişiler tarafından gelen eleştiriler neticesinde zamanla birçok konuda iyileşmeler olduğu gözleniyor.

AÇILIŞI GOOGLE YAPTI

Ödül avcılığı programlarının geçmişleri hakkında biraz araştırma yaptığımızda aslında buna benzer bir yapının ilk olarak NetScape tarafından 90’ların ortasında uygulandığını görüyoruz. Ancak bu programların gerçek ivme kazanması 2010 yılında Google’un programı ile başlamış; diğer büyük teknoloji firmalarının böyle programları duyurması aslında bu akımın fitilini ateşlemiştir.

Sonrasında BugCrowd ve HackerOne gibi platformların oluşması ve ödül avcılığı programına sahip olmayı düşünen ancak bunları değerlendirebileceği ciddi bir çalışana sahip olmayan ya da bu altyapıyı hazırlama konusunda sıkıntı yaşayabilecek firmalar için etkisi yok sayılamayacak bir katalizör olmuştur. Aynı zamanda bu platformlar sayesinde ödül avcılığı programlarının birçok firma için bir standardı olmasını da sağlamıştır.

90’lardan sonra bir üreticiye bir zafiyet bildirmek gerçekten sıkıntılı bir işti. Tarihte üretici firmaların avukat ordusu ile konferansları bastıkları ya da bu sunumları zorla konferans programından çıkarttıkları örnekler mevcut. Yakın zamana kadar hala buna benzer şekilde avukatlar aracılığıyla konferans organizatörlerine yapılan baskılar mevcuttu.

SORUMSUZ BİR FİRMAYA SORUMLU BİLDİRİM YAPAMAZSINIZ

Literatürde “Responsible Disclosure” denilen ve Türkçe’ye “sorumlu bildirme” olarak çevirebileceğimiz, zafiyeti bulduktan sonra yaptığımız örnekleri üretici ya da yayıncı firmaya bildirerek kapatılmasını sağlamak, zafiyet kapatılıp kimse zarar görmeyecek hale geldikten sonra bunu yayınlayabilmek üzerine kurulu ve aslında kazan kazan ilkesinin taşıyan bir yöntem sektörde senelerdir mevcut. Hatta bununla ilgili “ISO 29147 Vulnerability disclosure” ve “ISO 30111 Vulnerability handling processes” ISO standartları bile belirlendi. Bulunan zafiyet herhangi bir şekilde kötüye kullanılmadan üreticiye bildirildiği için üretici de memnun, bu araştırmayı yapan kişi de bu çalışması sebebiyle kimse zarar görmediği ve bu çalışmasının bir başarı olarak paylaşılabileceği için memnundu. Ancak sorumlu bildirim kavramı bence içerisinde sadece araştırmacının sorumluluğunu değil aynı zamanda üreticinin sorumluluğunu da barındırıyor. Dolayısıyla “sorumsuz bir firmaya” sorumlu bildirim yapamazsınız. Hal böyle olunca ödül avcılığı programlarının aslında ne kadar da değerli olduğunu bir kez daha kavramış oluyoruz.

Ödül avcılığı programlarına dönecek olursak; bu programı başlatan firmalar bunun duyurusunu yaptıkları yerde mutlaka bir yasal duyuru yayınlarlar. Bunun da sebebi aslında siz zafiyet bulmaya çalışan iyi niyetli bir araştırmacı da olabilirsiniz, bütün bu iyi niyetli sıfatları kullanan ama aslında niyeti kötü biri de olabilirsiniz. Hatta ilgilenmesi gereken sayfaların dışına çıkıp hiç de ilgilenmemesi gereken yerlere burnunu sokan biri de. Bunlarında bir noktada birbirlerinden net olarak ayrılması gerekiyor. Bunu da aslında programın yapısında sağlayan yer, bu ödül avcılığı programının kurallarının yer aldığı bölüm.

ALTIN KURAL: ÇALIŞAN SİSTEME ZARAR VERME

Belirlenen bu kurallar arasında mutlaka yer alan iki temel kural vardır. Bunlardan biri kesinlikle ama kesinlikle üçüncü bir kişinin hesabı üzerinde işlem yapmamak ve çalışan sisteme zarar vermemektir. Bunun yerine sizden sahip olduğunuz test hesaplarını kullanarak bu zafiyeti göstermeniz istenir. Belki de bu duruma en iyi örnek Facebook’ta var olan bir zafiyet ile Mark Zuckerberg’in duvarında durum yayınlayıp binlerce dolar ödülü alamayan araştırmacı olabilir.

“İyi niyetle” de olsa başkasının ya da hatta başkalarının hesapları üzerinde bir şeyler yapmaya çalışıyorsanız sizin iyi niyetli olduğunuzu anlamaları, aynı bir saldırgan davranışı sergilediğiniz için o kadar da kolay değil.  Kaldı ki böyle bir iyi misin, kötü müsün değerlendirmesini yapmak zorundalar mı? O da ayrı mesele. Sistemde veya uygulamada bir zafiyetin var olduğunu göstermek için binlerce kullanıcı üzerinde işlem yapmaya çalışmak yerine kendinize ait iki tane test hesabında göstermeniz yeterlidir. Yüzlerce veya binlerce kullanıcının verisi üzerinde zafiyeti ispatlamaya çalışmanın firma tarafından olağan ya da kabul edilebilir bir durum olmadığını bilmekte fayda var ve bu net olarak kural ihlalidir.

Bunu aslında şuna benzetebiliriz; açık olmaması gerektiği halde kapısı açık bir iş yeri görmüşsünüz ve içeride de ciddi derecede gizlilik gerektiren belgeler var. Siz de kapının açık olmasına güvenerek içeri girip bütün bu belgeleri alıyorsunuz ve sonra bu iş yerinin sahibini bulup “hey dostum kapıyı açık bırakmışsın, ben de bütün belgeleri aldım. Bak ben iyi niyetliyim sana geri getirdim” diyorsunuz. Peki iş yeri sahibi bu gizli bilgileri okuyup okumadığınızı ya da bir kopyasını almadığınızı nereden bilecek? Aslında böyle bir örnekle de anlatınca bu sefer “kapıyı açık bırakmasaymış o zaman” diye bir yaklaşım geliyor ama emin olun hepimiz çok iyi biliyoruz ki yarattığımız bu sanal dünyada bu kapıların hepsini kapatmak gerçekten zor. Teknoloji, onu güvenli hale getirmemizden daha hızlı gelişiyor. Hepimiz bu kapıların o kadar da kolay kapatılmıyor oluşundan para kazanmıyor muyuz zaten…

En önemli ikinci kural ise belirlenen kapsam dahilinde bu testleri gerçekleştirmektir. Çünkü kapsam dışında bazen üçüncü parti barındırıcılarda ya da servis sağlayıcılarda yer alan sayfalar olabilmektedir.

Yine kapsam konusu içerisine giren bir diğer alt başlık da firmanın yeni satın aldığı girişimlerle ortaya çıkan iştirakleri. Teknoloji haberlerini az da olsa takip edenler bilirler ki, günümüzde büyük firmaların sadece kendi altyapıları ile bir ürün ve servis geliştirmenin yanından piyasada iyi bir ivme yakalamış ya da farklı teknolojik yaklaşımlara sahip girişimleri satın alma yoluna giderek bünyelerine katmaktadadır. Hal böyle olunca, ödül avcılığı programına sahip bir firmanın yeni bir girişimi iştirakleri arasına katması beraberinde elbette ki güvenlik ile ilgili yeni durumları beraberinde getiriyor olması sebebiyle, iyi bir programa sahip diyebileceğimiz firmalarda bu yeni iştiraklerdeki zafiyetlerin ödüllendirilmesi noktasında bir kural karşımıza çıkıyor.

Firmanın belirlediği kurala bağlı olarak, genellikle de 3-6 ay süreyle, bu yeni girişimle gelen servisler ödül avcılığı programına kısmen katılıyor. Belirlenen bu süre kapsamında girişimi satın alan ya da ortak olan firmanın güvenlik ekibi tarafından yeni iştirak tarafından kullanılan sistemler ve uygulamalar belirli analizler ve süreçlerden geçiriliyor. Bu süre boyunca, bu büyük firma ödül avcılığı programına sahip olsa bile zafiyet bildirdiğinizde herhangi bir ödül alamıyorsunuz. Bu sebeple zafiyetin bildirildiği zaman böyle durumlarda oldukça önemli. Yoksa ödül alamayabilirsiniz.

İLK GÖNDEREN KAZANIR

Bu iki temel kurala ek olarak bazı programlarda zafiyet tespiti için otomatize araç kullanımı, bu araçların anlamlı anlamsız her şeyi denemeye çalışması sebebiyle, ciddi miktarda ama gereksiz olan bir trafik yaratacağından yasaklanmış ya da sınırlandırılmıştır. Şu mantıkla da gidersek büyük teknoloji firmalarının da bir güvenlik ekipleri hatta bunlara ek ürün güvenliği ekipleri var ve onlar da bazı testleri zaten kendileri gerçekleştiriyorlar. Dolayısıyla yasak ya da kısıtlı olmasına karşın yine de otomatize araçlarla buralarda zafiyet bulmak gerçekten büyük şans olsa gerek. Onun yerine bir proxy ile uygulamanın nasıl çalıştığına odaklanıp, o mantığa göre zafiyet ararsanız hem daha başarılı olursunuz hem de büyük ölçekte uygulamaların nasıl geliştirildiği hakkında bilgi sahibi olursunuz.

Unutmayınız ki, iyi bir ödül avcılığı programında zafiyeti bildirdikten sonra bir yandan çözümlerin üretilmesi ve zafiyetin kapatılması için zaman harcandığı gibi bir yandan bu zafiyet daha öncesinde kötüye kullanılmış mı gibi bir araştırma da yapılabiliyor.

Ödül avcılığı programlarında sık karşılaşılan durumlardan biri de bildirdiğiniz zafiyetin daha önce bildirilmiş olması sebebiyle ödüllendirilmiyor oluşunuzdur. Bu oldukça can sıkan bir durum. Olayı firmalardan bizzat yüz yüze dinlemiş biri olarak şunu söyleyebilirim ki; sizin bildirdiğiniz zafiyet daha önce bildirilmiş olması durumunda sizin bu zafiyeti gerçekten kendiniz mi bulduğunuz yoksa size birinin söylemesi üzerine mi bildirdiğiniz noktasında herhangi bir ölçüm yapılamadığı için ilk gönderen kazanır ilkesi üzerinden gidiliyor. Ancak zamanla yeni platformlarda şeffaflık konusuna daha dikkat edildiği için en azından size daha önce bildirilmiş denilen zafiyetin de gerçekten daha önce bildirilip bildirilmediğinin takibini yapabiliyorsunuz.

İYİ RAPOR YAZAN BONUSU KAZANIR

Günümüzde birçok program araştırmacıları teşvik etmek ve motive etmek için size bazı ek sıfatlar veya ödüller verebiliyor. Böylece diğerlerinden farklı bir konumda olmanız hem sizi yeni araştırmalarınız için motive ediyor hem de firmanın sizi ya da yeni insanları teşvik etmesi noktasında ciddi bir etkisi oluyor. Ek olarak sürekli bir program için çalışıyor olmanız, firmaya bir sadakat göstergesi olduğu için, bazen ödüllendirme konusunda daha cüretkar olabiliyorlar. Daha önceki çalışmalarınızı da bildiklerine sizi hayal kırıklığına uğratmak yerine yine ödülle teşvik etmeye çalışıyorlar. Hatta gönderdiğiniz raporlara olan güven de artıyor. Yine kazan-kazan ilkesi. Çünkü bu alanda büyük kısmı var olmayan zafiyetlerin bildirilmesi gibi sahte raporlar kapsıyor. Hepsine ek olarak programa belirli bir sadakatiniz varsa ve daha önce gönderdiğiniz raporlar belirli bir kalite de ise henüz herkese duyurulmayan yeni özellikleri test etme şansına da sahip olabiliyorsunuz.

Yine iyi bir ödül avcılığı programında eğer para ödülü teklif ediliyorsa, daha önce belirttiğim şeffaflık sebebiyle, hangi zafiyetin ne kadar ücretle ödüllendirileceği açık bir şekilde bildirilir ve istisnai durumlarda (ör. raporunuzun çok güzel yazılmış olması ya da zorluğu sebebiyle oldukça etkileyici bir zafiyet olması) bu tabloda belirtilen ödüllere ek olarak bonus ödüller elde edebilirsiniz.

Bu ödül cetveli detayına sahip firmalarda bir de aynı zafiyetin daha önemli olduğu düşünülen yerlerde, daha önemsiz olduğu düşünülen yerlere göre daha fazla ödüllendirildiği gözlemlenmektedir. Ya da bir alt alan adında o zafiyetin olması çok önemli görülmemesi ya da değersiz olarak görülmesine karşın daha çok etkiye sahip olduğu başka bir yerde en önemli zafiyet bile olabilir.

BAZI ÖDÜLLER SİGORTALI İŞTEN DAHA İYİ KAZANDIRIR

Tüm bu süreçlere ek olarak da bir de ödülün size ulaşması aşamasına değinmek gerek. Unutmayın ki verilen ödül bir mecburiyet değil, harcadığınız emeğe bir teşekkürdür.

Bugüne kadar bu programlar vasıtasıyla milyonlarca dolar ödül dağıtılarak binlerce kişiye teşekkür edildi. Bu ödüller çoğu ülkenin gelir düzeyine göre oldukça iyi miktarlarda olduğu için ciddi bir ekonomiye de sahip. Bazı durumlarda sigortalı bir işe girip çalışmaktan kat be kat fazlasını kazanabilirsiniz.

Birçok firma bu ödülleri belirli bir bütçe dahilinde verdiği için size ödemiş olduğu ödülü bulunduğu ülkenin yasaları çerçevesinde belirli süreçlerden geçirmesi gerekiyor. Dolayısıyla ödemeyi SWIFT ya da PayPal gibi yasal yollardan yapmayı tercih ediyorlar. Eğer firmanın bulunduğu ülke başka ülkelere ekonomik yaptırımlar ve ambargolar uygulaNmıyorsa  (ör. Amerika menşeili firmalar Küba, Suriye, Kuzey Kore gibi ülkelere ödeme yapmıyor) ödülü almanıza herhangi bir sıkıntı yaşamıyorsunuz. Bitcoin borsası olup da ödül avcılığı programı başlatan firmalar dışında, büyük çapta olup BTC ile ödeme yapan firma yok diye biliyorum.

Bu yollarla elde ettiğiniz gelir bir kazanç olduğu için kazanç vergisi kapsamına giriyor. Dolayısıyla bu vergiyi bazı durumlarda firma karşıladığı gibi bazı durumlarda sizin kazancınız üzerinden kesinti yapılıyor ya da siz ödüyorsunuz. Bu o firmaya ve bulunduğu ülkeye göre değişebilen bir durum. Ek olarak bulunduğunuz ülkenin, firmanın bulunduğu ülke ile olan vergi anlaşmalarını da gözden geçirmekte büyük fayda var.

Tüm bunlardan sonra sizin isminizi sitelerinde yayınlayıp teşekkür ettiklerinde bunun size bir de güzel manevi bir getirisi oluyor. Araştırmacının vatandaşı olduğu ülke ile ilgili ortaya çıkan bir sorunu veya engellemeyi bugüne kadar hiç duymadım. Benim de ismimde bazı Türkçe karakterlerin çok olması sebebiyle ismimi İngilizce karakterlerle yazmak istemeleri gibi bir istek dışında açıkçası başka bir olayla karşılaşmadım. Bunu da oldukça normal bir istek olarak değerlendiriyorum. Çünkü her dilin kendine has harfleri olabiliyor.

Ülkemizden ödül avcılığı programlarına katılan ve oldukça başarılı olan genç arkadaşlarımız var. Kendilerinden teker teker bahsedemesem de hepsini ayrı ayrı tebrik ediyor, başarılarının devamını diliyorum.

Siber Bülten abone listesine kaydolmak için formu doldurunuz


Verdiğiniz bilgiler 3. parti firma veya kişilerle paylaşılmayacaktır, sadece verdiğiniz talimat istikametinde kullanılacaktır.

 

Gökmen Güreşçi

Çeşitli ödül avcılığı programlarında bulduğu zafiyetlerle birçok büyük firmanın (Yandex, Google, Zemana, Nokia, Microsoft, Foursquare, eBay, Pinterest, Barracuda Networks, BlackBerry, PayPal, Apple, Dropbox, CloudFlare, Atlassian, Mega.NZ, Whitehat Security, F-Secure, Deutsche Telekom, Amazon Web Services vb.) Şeref Listelerinde yer almıştır.

Çalışmalarına DFIR (Digital Forensics & Incident Response) üzerine yoğunlaştırarak devam etmektedir.
Gökmen Güreşçi

Latest posts by Gökmen Güreşçi (see all)

Yorum Yaz

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Gökmen Güreşçi

Çeşitli ödül avcılığı programlarında bulduğu zafiyetlerle birçok büyük firmanın (Yandex, Google, Zemana, Nokia, Microsoft, Foursquare, eBay, Pinterest, Barracuda Networks, BlackBerry, PayPal, Apple, Dropbox, CloudFlare, Atlassian, Mega.NZ, Whitehat Security, F-Secure, Deutsche Telekom, Amazon Web Services vb.) Şeref Listelerinde yer almıştır.

Çalışmalarına DFIR (Digital Forensics & Incident Response) üzerine yoğunlaştırarak devam etmektedir.
Gökmen Güreşçi

Latest posts by Gökmen Güreşçi (see all)

%d blogcu bunu beğendi: