Etiket arşivi: ödül avcılığı

BugBounter, Avrupa’da ilk çözüm ortaklığını oluşturdu

31 Mayıs 2022 Onur Usta Yorum yapın

BugBounter, Avrupa’da birçok ülkeye siber güvenlik çözümleri sunan Cyberarch ile Estonya merkezli ilk çözüm ortaklığı anlaşmasını yaptı. Cyberarch, BugBounter’ın ödül avcılığı hizmetini kendi çözümleri ile birleştirerek sunacak.

Şirketlerin güvenlik açıklarını denetleme, bulma ve doğrulama ihtiyacını bünyesindeki 2000 siber güvenlik uzmanıyla karşılayan BugBounter (www.bugbounter.com), Estonya’daki ilk çözüm ortaklığına Cyberarch (www.cyberarch.eu) ile imza attı. Bu iş birliğiyle dünyanın en büyük girişimcilik ekosistemlerinden birisine ev sahipliği yapan Estonya ve komşu ülkelerdeki şirketler, siber güvenlik açıklarını BugBounter’ın ödül avcılığındaki kapsamlı testlerle tespit edebilecek ve önlemlerini Cyberarch’ın danışman kadrosunun desteği ile alabilecek.

Türk siber güvenlik firması BugBounter yatırım almaya devam ediyor

BugBounter Kurucu Ortağı ve CEO’su Arif Gürdenli, konuyla ilgili şu açıklamalarda bulundu: “BugBounter olarak öncelikle Avrupa, Orta Doğu ve Asya’da, daha sonra global ölçekte hizmet sunan bir siber güvenlik platformu olmak için çalışıyoruz. Yönetilen siber güvenlik hizmetleri alanında uzman ve lider bir şirket olan Cyberarch ile oluşturduğumuz iş birliğimiz, Avrupa’daki ilk çözüm ortaklığı olma özelliğini taşıyor. Bu ortaklık sayesinde platformumuzda kayıtlı 2000 siber güvenlik uzmanı, küresel olarak çok daha büyük şirketlerin başlatacağı bug bounty (ödül avcılığı) programlarına katılma fırsatı yakalayacak. Bu işbirliği, platformdaki Türk uzmanların bulguları karşılığında ülkemize döviz girdisi de sağlayacak.”

Sektörel

Bug Bounty, finans sektörüne siber güvenlikte hız kazandırabilir

2 Mart 2022 Onur Usta Yorum yapın

Bug bounty (ödül avcılığı) programları, finans sektöründe ortalama 9 ay süren zafiyet tespiti süresini azaltmak için en çevik yol olarak görülüyor.

Araştırmalara göre bir veri ihlalini tespit etmek ve kontrol altına almak ortalama 287 gün sürüyor. Bu da her sektör için çok uzun bir süre ancak özellikle de finans gibi hassas bir sektörde faaliyet gösteren şirketler için daha da kritik.

Dünyada artık nakit kullanımı azalıyor ve dijital ödeme seçenekleriyle yapılan işlemlerin sayısı artıyor. Artan siber güvenlik risklerine karşı şirketlerin sistemlerinin güvenlik açıklarını düzenli değil, sürekli olarak denetletmeleri gerekiyor.

Her geçen gün siber güvenlik, şirketler ve kurumlar için çok daha önemli hale geliyor. 2020’de fidye yazılımları yüzde 150 arttı ve her 39 saniyede yeni bir saldırı gerçekleştirildi. Bu saldırılardan birinin başarıya ulaşması, bankalar ve fintekler için büyük sorunlar oluşturabilme potansiyeline sahip.

Öte yandan siber saldırılar yapay zeka ve kendi kendine öğrenen kötü amaçlı yazılımlarla çok daha etkili hale geliyor. Bu noktada kimlik doğrulama alanındaki tek seferlik şifreler (OTP) ve bilgi tabanlı doğrulamalar (KBA), siber saldırganların en çok başvurduğu saldırı alanları olarak öne çıkıyor.

HER SANALLAŞMA ADIMI YENİ GÜVENLİK AÇIKLARI ÇIKARIYOR

Verileri birçok şekilde ihlal etmek mümkün. Ancak hepsinin ortak sonucu ise finansal ve itibar kayıpları oluyor. Finansal işlemlerin dijital platformlardan yapılması, mobil bankacılık ve bulut hizmetlerinin daha fazla kullanılması ise veri ve işlem güvenliğinin sağlanmasını daha da zorlaştırıyor.

Apple’dan bug bounty avcılarına ödül : Hindistanlı beyaz şapkalı hackerlar 50 bin dolar kazandı

Sürekli geliştirilen ve güncellenen uygulamalar siber suçluların, müşterilerin hassas finansal verilerine ulaşabilmesini sağlayacak potansiyel açıklarla birlikte geliyor.

Durmaksızın varlığı bilinmeyen açıkları arayan siber saldırganlar, finans sektörünü maliyet açısından veri ihlallerinden en çok etkilenen ikinci sektör haline getirmeye devam ediyor. 2021’de finansal kuruluşlar, veri ihlalleriyle doğrudan bağlantılı ortalama 5,72 milyon dolar kayıpla karşı karşıya kaldı.

Bir veri ihlalini tespit etmek ve kontrol altına almak ortalama 287 gün sürüyor. Ortalama bir veri ihlali de dokuz aydan uzun süre fark edilmiyor. Bu da tehlike altında olan bankacılık kayıtlarından ve çalınan kayıtlardan ötürü oluşan mali etkiyi ciddi oranda artırıyor.

Lostar, Şirket Haberleri

Lostar’ın genç ödül avcıları Google ve Oracle’da açık buldu

27 Eylül 2017 Ergün Varlık Yorum yapın

Türkiye’nin önde gelen siber güvenlik şirketlerinden Lostar, iki çalışanının Google ve Oracle sistemlerinde bulduğu önemli güvenlik açığı ile adından söz ettiriyor.

Teknoloji firmalarının siber suçlulardan bir adım önde olmak ve sistemlerinin daha güvenli olmasını sağlamak adına düzenledikleri ödül avcılığı programlarında buldukları açıklarla ‘oyunda biz de varız’ diyen Berk İmran ve Barış Sağdıç, zafiyet tespit ve ödül avcılığı süreçlerini Siber Bülten’e anlattı.

Ödül avcılığı (Bug Bounty) gelişen teknolojinin kurtarıcısı olarak siber güvenliğin sunduğu faydalı test yöntemlerinden biri. Ödül avcılığı kapsamında kurumlar sistemlerinde, web sitelerinde ya da yazılımlarındaki açıklıkları farklı bir göz aracılığıyla test ediyor ve rapor edilen zafiyet için ‘beyaz şapkalı hackerlara’ (white hackers) para ödüyor.

Büyük şirketlerin güvenlik ekiplerinin yazılımlarındaki açıklıkları bulmak için yeterli zaman ya da iş gücüne sahip olamamaları ödül avcılığını son 10 yılda oldukça arttırdı.

Program dahilinde güvenlik uzmanları binlerce dolar kazanırken, kurumlar ise hacklenme korkusunu en aza indirerek maddi ve manevi kayıpları önlüyorlar.

Lostar’da yaklaşık üç yıldır siber güvenlik danışmanı olarak çalışan Barış Sağdıç, ödül avcılığı programı kapsamında Google’da oldukça önemli bir zafiyet buldu.

Bu zafiyet ile birlikte ünlüler geçidi (Hall of Fame -HoF) listesine girmeye de hak kazandı.

İlgili güvenlik açığını 24 Temmuz tarihinde bulan ve aynı gün raporlayan Sağdıç, tespit ettiği açık için “Google ödül avcılığı tarihinde keşfedilen en önemli zafiyetler arasında” diyor. Bunun sebebi ise zafiyetin bir çok alt uygulamayı da etkilemiş olması.

Sık sık ödül avcılığı programlarına katılan Lostar’ın uygulama güvenlik danışmanının tek başarısı da bu değil.

Web uygulama güvenliği konusunda yüksek teknik bilgiye sahip olan kişilere verilen prestijli eWPTX (eLearnSecurity Penetration Tester eXtreme) sertifikasına Türkiye’de sahip olan tek kişi.

-‘Kullanıcı bilgileri ele geçirilebilirdi’

Sağdıç zafiyet araştırmasına Google’ın webstore yönetim sayfasında başlamış.

“Keşfettiğim zafiyet saklı türünde siteler arası betik çalıştırma zafiyetiydi (Stored Cross-site scripting, XSS). Zafiyet girdi kontrolü eksikliklerinden kaynaklanıyordu. Bulduğum açık Google’ın ödeme sistemindeki adres bilgilerindeydi,” diyor Sağdıç ve not ediyor:

“Google’ın bir çok yerinde ödeme sistemi entegre olduğundan neredeyse tüm alt uygulamaları bu zafiyetten etkileniyordu. Bu açık nedeniyle kullanıcı bilgileri ele geçirilebilirdi.”

Sağdıç keşfi sonrasında 4 Ağustos’ta Google’dan para ödülü almış, ve 10 Ağustos’ta ise bildirdiği açık giderilmiş.

Ödül avcılığı programlarının ivme kazanmasındaki en büyük itici güçlerden biri Google gibi büyük bir şirketin verdiği ödüller. Şirket, ilk ödül avcılığı programını başlattığı 2010 yılından bu yana 9 milyon doların üzerinde ödül dağıttı.

Bugüne kadar Google tarafından verilmiş en büyük ücret ise 100.000 dolar.

-Oracle açığıyla Hall of Fame listesinde

Lostar’ın ödül avcılarından bir diğeri ise Oracle’da bulduğu önemli açıkla adını Ekim ayında yayınlanacak Hall of Fame’e yazdıracak olan Berk İmran.

Berk İmran’ın bulduğu açık ile ilgili blog yazısına buraya tıklayarak ulaşabilirsiniz

Ödül avcılığını, siber güvenlik alanında kariyer yapmak isteyen veya kendini teknik anlamda geliştirmek isteyen herkes için önemli fırsatlardan biri olarak gören İmran, henüz 21 yaşında.

İmran ayrıca, Lostar’ın Sakarya Üniversitesi iş birliğiyle geçtiğimiz Temmuz ayında düzenlediği Siber Güvenlik Yaz Kampı sonrasında Siber Güvenlik Departmanı kadrosuna kattığı altı kişiden biri.

Genç yaşına rağmen “ödül avcılığına başlayalı yıllar oldu” diyen İmran, Oracle dışında Sony, Yandex, eBay gibi birçok kurumda zafiyet bulmuş.

Oracle’da “stored xss” ve “ssrf” türlerinde iki açık keşfettiğini aktaran araştırmacı, açık bulma sürecini Siber Bülten’e şöyle tanımlıyor:

“10 Temmuz’da aramaya başladım, beş dakika sonra buldum. Beş gün boyunca bulduğum zafiyetle en kritik nokta neresi, nereye kadar ilerleyebiliyorum diye denedim ve 15 Temmuz’da zafiyeti rapor ettim. 18 Temmuz’da geri dönüş aldım, 1 Ağustos’ta ise zafiyet giderilmişti. Ekim ayında yayınlanacak olan Hall of Fame listesinde de benden bahsedecekler.”

Oracle’da bulduğu zafiyetin kritik seviyede olduğunu ifade eden İmran, burada amacının sadece Hall of Fame listesine girmek olduğunu söyledi.

-‘Amaç Türkiye’yi siber güvenlik alanında ileriye taşımak’

Türkiye’de ‘hackerone.com’ ya da ‘bugcrowd.com’ gibi ödül avcılarının işini kolaylaştıracak sitelerin bulunmadığını söyleyen İmran’a göre, Türk firmaları ve devlet ödül avcılığı kapsamında daha fazla adım atmalı.

“Facebook, Google ve hatta Pentagon bile bug bounty başlatırken Türkiye’de hiçbir kurum bu alanda adım atmıyor.”

İlgili haber >> 18 yaşındaki hacker Pentagon’u hackledi

Geçtiğimiz yıl internete sızan seçmen bilgilerini hatırlatan İmran, bu durumun ödül avcılığı yoluyla çözülebileceğini aktardı.

“Ülkede bug bounty kapsamı olsaydı bu bilgiler internete çok daha zor sızardı ve bunların hiçbiri yaşanmazdı. Böyle bir girişimde Türkiye’de kimsenin kar amacı güdeceğini düşünmüyorum. Sadece teşekkür edilse bile yeterli olacaktır.”

Bu alanda bazı atılımlarda bulunan İmran, üniversite öğrencilerini kapsayan bir siber güvenlik topluluğu ‘canyoupwn.me’ üyesi olduğundan bahsediyor.

“Kar amacı gütmeyen bir grup. Blog yazıları yazıyor, siber güvenlik çalışmaları yapıyoruz. Zafiyet nedir, nasıl oluşur, nasıl bulursunuz ve düzeltirsiniz gibi bir çok konuda bilgi veriyoruz.” diyor İmran.

Canyoupwn.me’de nereden başlayacağını az çok bilen belirli bir noktaya gelmiş ama bir tık daha üst seviyeye geçmek isteyenler için ise zafiyet amacı güdümlü makineler var.

“İlk makinemiz Kevgir’di. Dönemin tüm güncel zafiyetlerini Kevgir’e ekledik, güzel bir senaryo yaptık. Bu alanla ilgilenenler, makineyi indirdiler ve zafiyet bulmaya çalıştılar.”

İmran’a göre bu sistemin güzel tarafı hiçbir siteye zarar vermeden yasal bir şekilde kişilere kendini deneme fırsatı vermesi.

Siber Bülten abone listesine kaydolmak için formu doldurun

Siber Güvenlik

HackerOne Pentagon’u hackledi, 40 Milyon Dolarlık yatırımı kaptı

21 Şubat 2017 Ergün Varlık Yorum yapın

Facebook, Microsoft ve Google gibi dev firmalar tarafından kurulan HackerOne adlı kurumsal zafiyet ve ödül avcılığı (bug bounty) platformu, geçen yıl Birleşik Devletler ordusu tarafından kullanılan en hassas yazılımlardan birindeki zafiyetleri bulmaya çalışıyordu. Savunma Bakanlığı ise Birleşik Devletler hükümetinin ilk bug bounty yarışması Hack the Pentagon için HackerOne’ı seçti. Yarışmanın hayata geçmesi 150 bin dolara mal oldu, fakat platformda çalışan hackerların bulduğu 138 zafiyet ile Savunma Bakanlığı 1 milyon doların üzerinde tasarruf sağladı.

İlgili haber >> 18 yaşındaki hacker Pentagon’u hackledi

30 Kasım ile 21 Aralık arasında düzenlenen ikinci yarışma Hack the US Army’de 118 zafiyet bulan HackerOne, Savunma Bakanlığı tarafından 3 milyon dolar ile ödüllendirildi.

Synack ve Bugcrowd gibi birkaç startup’tan biri olan HackerOne, kurumlara bug bounty hizmeti vermek için güvenlik araştırmacılarıyla çalışıyor ve hackerlar kurumlara verdikleri hizmet karşılığında firmadan para ödülü kazanıyor.

HackerOne 8 Şubat tarihinde yayımladıkları bir basın bülteni ile Dragoneer Investment Group’un teknoloji gelişimi, pazar alanının arttırma ve dünyanın en büyük hacker grubunu güçlendirme amacıyla kendilerine 40 milyon dolar yatırım yaptığını açıkladı. HackerOne’ın diğer müşterileri arasında ise Adobe, Yahoo, Uber, GitHub, Twitter, Slack, Nintendo, General Motors, Airbnb ve Qualcomm bulunuyor.

HackerOne’ın CEO’su Marten Mickos yaptığı açıklamada mükemmel yazılım diye bir şey olmadığını ve bug bounty programlarının yazılımlardaki güvenlik zafiyetlerini bulma açısından en etkili ve uygun maliyetli çözüm olduğunu söyledi.

EFSANE HACKERLARIN BİYOGRAFİLERİNİ KAÇIRMAYIN

Platformda şu anda zafiyet bulmak için çalışan 100 binin üzerinde hacker kayıtlı. Şimdiye kadar 700’ün üzerinde müşteriye hizmet veren hackerlar, 37 binin üzerinde güvenlik sorununu çözüme ulaştırdı. HackerOne’ın hackerlara verdiği ücretler ise diğer firmalara göre hayli yüksek. Bug bounty için şimdiye kadar 13 milyon dolar harcayan şirket, bu ödüllendirmelerin 7 milyon dolarını 2016 yılında yaptı.

İlgili yazı >> Ponemon Enstitüsü siber güvenlik çalışmaları hakkında neler diyor?

Ponemon Enstitüsü tarafından 2016 yılında yapılan bir araştırmaya göre bir veri ihlalinin ortalama toplam maliyeti 4 milyon dolarken, bu rakam Amerika’da 7 milyon doları buluyor. HackerOne gibi bug bounty programlarına karşı bazı şüpheler mevcut olsa bile, güvenlik analistleri ve bug bounty programlarının kurucuları bu sistemin siber güvenlik açısından sihirli bir çözüm olduğunu düşünüyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

[wysija_form id=”2″]

Konuk Yazar, Makale & Analiz

Pastanın üstündeki vişne: Ödül avcılığı (Bug Bounty)

18 Şubat 2017 Gökmen Güreşçi Yorum yapın

Dünyada uzun bir süredir devam eden ödül avcılığı programları (bug bounty) ülkemizde daha da popüler bir hal almaya başladı.

Öncelikle ödül avcılığının ne olduğundan bahsetmek yerinde olur diye düşünüyorum. Ödül avcılığı programı firmaların sistemlerinde bulduğunuz zafiyeti ilk olarak onlara bildirmeniz karşılığında ödüllendirildiğiniz bir yapı. Bu ödül ciddi miktarlarda para ödülleri olabildiği gibi firmanın kendine ait tişört, bardak vs. gibi eşantiyonlar, hatta bazı durumlarda ise sadece firmanın web sitesinde bir bölümde size teşekkür edilmesi şeklinde de olabiliyor.

Ödül avcılığının en önemli avantajlarından biri dünyanın herhangi bir yerindeki bir araştırmacı sisteminizde herkesin gözünden kaçan bir zafiyet bulmasına imkan sağlaması. Geleneksel sızma testi yaklaşımında yapılan testin kalitesinin kısıtlı bir ekibin yetenekleri ve tecrübeleri ile orantılı olduğunu düşünürsek bu konuda ciddi bir avantaja sahip. Gördüğüm kadarıyla firmanın ölçeğine bağlı olarak bazı yerlerde güvenlik ekibi, sızma testi ve ödül avcılığı yaklaşımı olabildiği gibi bazı yerlerde sadece ödül avcılığı programının yeterli olacağı düşünülmekte. Naçizane tecrübelerim neticesinde ben ödül avcılığını bir cupcake’in üstündeki vişneye benzetiyorum. Bu sebeple birbirinin muadili gibi davranmak yerine bunları bütünleştirmek en doğru yaklaşım.

Bugün firmaların kendi ekipleriyle bu işi organize edebildikleri örnekler olduğu gibi, BugCrowd ya da HackerOne gibi bunu size hizmet olarak sağlayan oldukça güzel platformlar da mevcut. Birçok programda eskiye nazaran şeffaflık daha ön planda. Bu da zamanla oluşan sıkıntılardan, özellikle bu zafiyetleri bulup bildiren ve daha önce bildirildiği sebebiyle ödüllendirilemeyen kişiler tarafından gelen eleştiriler neticesinde zamanla birçok konuda iyileşmeler olduğu gözleniyor.

AÇILIŞI GOOGLE YAPTI

Ödül avcılığı programlarının geçmişleri hakkında biraz araştırma yaptığımızda aslında buna benzer bir yapının ilk olarak NetScape tarafından 90’ların ortasında uygulandığını görüyoruz. Ancak bu programların gerçek ivme kazanması 2010 yılında Google’un programı ile başlamış; diğer büyük teknoloji firmalarının böyle programları duyurması aslında bu akımın fitilini ateşlemiştir.

Sonrasında BugCrowd ve HackerOne gibi platformların oluşması ve ödül avcılığı programına sahip olmayı düşünen ancak bunları değerlendirebileceği ciddi bir çalışana sahip olmayan ya da bu altyapıyı hazırlama konusunda sıkıntı yaşayabilecek firmalar için etkisi yok sayılamayacak bir katalizör olmuştur. Aynı zamanda bu platformlar sayesinde ödül avcılığı programlarının birçok firma için bir standardı olmasını da sağlamıştır.

90’lardan sonra bir üreticiye bir zafiyet bildirmek gerçekten sıkıntılı bir işti. Tarihte üretici firmaların avukat ordusu ile konferansları bastıkları ya da bu sunumları zorla konferans programından çıkarttıkları örnekler mevcut. Yakın zamana kadar hala buna benzer şekilde avukatlar aracılığıyla konferans organizatörlerine yapılan baskılar mevcuttu.

SORUMSUZ BİR FİRMAYA SORUMLU BİLDİRİM YAPAMAZSINIZ

Literatürde “Responsible Disclosure” denilen ve Türkçe’ye “sorumlu bildirme” olarak çevirebileceğimiz, zafiyeti bulduktan sonra yaptığımız örnekleri üretici ya da yayıncı firmaya bildirerek kapatılmasını sağlamak, zafiyet kapatılıp kimse zarar görmeyecek hale geldikten sonra bunu yayınlayabilmek üzerine kurulu ve aslında kazan kazan ilkesinin taşıyan bir yöntem sektörde senelerdir mevcut. Hatta bununla ilgili “ISO 29147 Vulnerability disclosure” ve “ISO 30111 Vulnerability handling processes” ISO standartları bile belirlendi. Bulunan zafiyet herhangi bir şekilde kötüye kullanılmadan üreticiye bildirildiği için üretici de memnun, bu araştırmayı yapan kişi de bu çalışması sebebiyle kimse zarar görmediği ve bu çalışmasının bir başarı olarak paylaşılabileceği için memnundu. Ancak sorumlu bildirim kavramı bence içerisinde sadece araştırmacının sorumluluğunu değil aynı zamanda üreticinin sorumluluğunu da barındırıyor. Dolayısıyla “sorumsuz bir firmaya” sorumlu bildirim yapamazsınız. Hal böyle olunca ödül avcılığı programlarının aslında ne kadar da değerli olduğunu bir kez daha kavramış oluyoruz.

Ödül avcılığı programlarına dönecek olursak; bu programı başlatan firmalar bunun duyurusunu yaptıkları yerde mutlaka bir yasal duyuru yayınlarlar. Bunun da sebebi aslında siz zafiyet bulmaya çalışan iyi niyetli bir araştırmacı da olabilirsiniz, bütün bu iyi niyetli sıfatları kullanan ama aslında niyeti kötü biri de olabilirsiniz. Hatta ilgilenmesi gereken sayfaların dışına çıkıp hiç de ilgilenmemesi gereken yerlere burnunu sokan biri de. Bunlarında bir noktada birbirlerinden net olarak ayrılması gerekiyor. Bunu da aslında programın yapısında sağlayan yer, bu ödül avcılığı programının kurallarının yer aldığı bölüm.

ALTIN KURAL: ÇALIŞAN SİSTEME ZARAR VERME

Belirlenen bu kurallar arasında mutlaka yer alan iki temel kural vardır. Bunlardan biri kesinlikle ama kesinlikle üçüncü bir kişinin hesabı üzerinde işlem yapmamak ve çalışan sisteme zarar vermemektir. Bunun yerine sizden sahip olduğunuz test hesaplarını kullanarak bu zafiyeti göstermeniz istenir. Belki de bu duruma en iyi örnek Facebook’ta var olan bir zafiyet ile Mark Zuckerberg’in duvarında durum yayınlayıp binlerce dolar ödülü alamayan araştırmacı olabilir.

“İyi niyetle” de olsa başkasının ya da hatta başkalarının hesapları üzerinde bir şeyler yapmaya çalışıyorsanız sizin iyi niyetli olduğunuzu anlamaları, aynı bir saldırgan davranışı sergilediğiniz için o kadar da kolay değil. Kaldı ki böyle bir iyi misin, kötü müsün değerlendirmesini yapmak zorundalar mı? O da ayrı mesele. Sistemde veya uygulamada bir zafiyetin var olduğunu göstermek için binlerce kullanıcı üzerinde işlem yapmaya çalışmak yerine kendinize ait iki tane test hesabında göstermeniz yeterlidir. Yüzlerce veya binlerce kullanıcının verisi üzerinde zafiyeti ispatlamaya çalışmanın firma tarafından olağan ya da kabul edilebilir bir durum olmadığını bilmekte fayda var ve bu net olarak kural ihlalidir.

Bunu aslında şuna benzetebiliriz; açık olmaması gerektiği halde kapısı açık bir iş yeri görmüşsünüz ve içeride de ciddi derecede gizlilik gerektiren belgeler var. Siz de kapının açık olmasına güvenerek içeri girip bütün bu belgeleri alıyorsunuz ve sonra bu iş yerinin sahibini bulup “hey dostum kapıyı açık bırakmışsın, ben de bütün belgeleri aldım. Bak ben iyi niyetliyim sana geri getirdim” diyorsunuz. Peki iş yeri sahibi bu gizli bilgileri okuyup okumadığınızı ya da bir kopyasını almadığınızı nereden bilecek? Aslında böyle bir örnekle de anlatınca bu sefer “kapıyı açık bırakmasaymış o zaman” diye bir yaklaşım geliyor ama emin olun hepimiz çok iyi biliyoruz ki yarattığımız bu sanal dünyada bu kapıların hepsini kapatmak gerçekten zor. Teknoloji, onu güvenli hale getirmemizden daha hızlı gelişiyor. Hepimiz bu kapıların o kadar da kolay kapatılmıyor oluşundan para kazanmıyor muyuz zaten…

En önemli ikinci kural ise belirlenen kapsam dahilinde bu testleri gerçekleştirmektir. Çünkü kapsam dışında bazen üçüncü parti barındırıcılarda ya da servis sağlayıcılarda yer alan sayfalar olabilmektedir.

Yine kapsam konusu içerisine giren bir diğer alt başlık da firmanın yeni satın aldığı girişimlerle ortaya çıkan iştirakleri. Teknoloji haberlerini az da olsa takip edenler bilirler ki, günümüzde büyük firmaların sadece kendi altyapıları ile bir ürün ve servis geliştirmenin yanından piyasada iyi bir ivme yakalamış ya da farklı teknolojik yaklaşımlara sahip girişimleri satın alma yoluna giderek bünyelerine katmaktadadır. Hal böyle olunca, ödül avcılığı programına sahip bir firmanın yeni bir girişimi iştirakleri arasına katması beraberinde elbette ki güvenlik ile ilgili yeni durumları beraberinde getiriyor olması sebebiyle, iyi bir programa sahip diyebileceğimiz firmalarda bu yeni iştiraklerdeki zafiyetlerin ödüllendirilmesi noktasında bir kural karşımıza çıkıyor.

Firmanın belirlediği kurala bağlı olarak, genellikle de 3-6 ay süreyle, bu yeni girişimle gelen servisler ödül avcılığı programına kısmen katılıyor. Belirlenen bu süre kapsamında girişimi satın alan ya da ortak olan firmanın güvenlik ekibi tarafından yeni iştirak tarafından kullanılan sistemler ve uygulamalar belirli analizler ve süreçlerden geçiriliyor. Bu süre boyunca, bu büyük firma ödül avcılığı programına sahip olsa bile zafiyet bildirdiğinizde herhangi bir ödül alamıyorsunuz. Bu sebeple zafiyetin bildirildiği zaman böyle durumlarda oldukça önemli. Yoksa ödül alamayabilirsiniz.

İLK GÖNDEREN KAZANIR

Bu iki temel kurala ek olarak bazı programlarda zafiyet tespiti için otomatize araç kullanımı, bu araçların anlamlı anlamsız her şeyi denemeye çalışması sebebiyle, ciddi miktarda ama gereksiz olan bir trafik yaratacağından yasaklanmış ya da sınırlandırılmıştır. Şu mantıkla da gidersek büyük teknoloji firmalarının da bir güvenlik ekipleri hatta bunlara ek ürün güvenliği ekipleri var ve onlar da bazı testleri zaten kendileri gerçekleştiriyorlar. Dolayısıyla yasak ya da kısıtlı olmasına karşın yine de otomatize araçlarla buralarda zafiyet bulmak gerçekten büyük şans olsa gerek. Onun yerine bir proxy ile uygulamanın nasıl çalıştığına odaklanıp, o mantığa göre zafiyet ararsanız hem daha başarılı olursunuz hem de büyük ölçekte uygulamaların nasıl geliştirildiği hakkında bilgi sahibi olursunuz.

Unutmayınız ki, iyi bir ödül avcılığı programında zafiyeti bildirdikten sonra bir yandan çözümlerin üretilmesi ve zafiyetin kapatılması için zaman harcandığı gibi bir yandan bu zafiyet daha öncesinde kötüye kullanılmış mı gibi bir araştırma da yapılabiliyor.

Ödül avcılığı programlarında sık karşılaşılan durumlardan biri de bildirdiğiniz zafiyetin daha önce bildirilmiş olması sebebiyle ödüllendirilmiyor oluşunuzdur. Bu oldukça can sıkan bir durum. Olayı firmalardan bizzat yüz yüze dinlemiş biri olarak şunu söyleyebilirim ki; sizin bildirdiğiniz zafiyet daha önce bildirilmiş olması durumunda sizin bu zafiyeti gerçekten kendiniz mi bulduğunuz yoksa size birinin söylemesi üzerine mi bildirdiğiniz noktasında herhangi bir ölçüm yapılamadığı için ilk gönderen kazanır ilkesi üzerinden gidiliyor. Ancak zamanla yeni platformlarda şeffaflık konusuna daha dikkat edildiği için en azından size daha önce bildirilmiş denilen zafiyetin de gerçekten daha önce bildirilip bildirilmediğinin takibini yapabiliyorsunuz.

İYİ RAPOR YAZAN BONUSU KAZANIR

Günümüzde birçok program araştırmacıları teşvik etmek ve motive etmek için size bazı ek sıfatlar veya ödüller verebiliyor. Böylece diğerlerinden farklı bir konumda olmanız hem sizi yeni araştırmalarınız için motive ediyor hem de firmanın sizi ya da yeni insanları teşvik etmesi noktasında ciddi bir etkisi oluyor. Ek olarak sürekli bir program için çalışıyor olmanız, firmaya bir sadakat göstergesi olduğu için, bazen ödüllendirme konusunda daha cüretkar olabiliyorlar. Daha önceki çalışmalarınızı da bildiklerine sizi hayal kırıklığına uğratmak yerine yine ödülle teşvik etmeye çalışıyorlar. Hatta gönderdiğiniz raporlara olan güven de artıyor. Yine kazan-kazan ilkesi. Çünkü bu alanda büyük kısmı var olmayan zafiyetlerin bildirilmesi gibi sahte raporlar kapsıyor. Hepsine ek olarak programa belirli bir sadakatiniz varsa ve daha önce gönderdiğiniz raporlar belirli bir kalite de ise henüz herkese duyurulmayan yeni özellikleri test etme şansına da sahip olabiliyorsunuz.

Yine iyi bir ödül avcılığı programında eğer para ödülü teklif ediliyorsa, daha önce belirttiğim şeffaflık sebebiyle, hangi zafiyetin ne kadar ücretle ödüllendirileceği açık bir şekilde bildirilir ve istisnai durumlarda (ör. raporunuzun çok güzel yazılmış olması ya da zorluğu sebebiyle oldukça etkileyici bir zafiyet olması) bu tabloda belirtilen ödüllere ek olarak bonus ödüller elde edebilirsiniz.

Bu ödül cetveli detayına sahip firmalarda bir de aynı zafiyetin daha önemli olduğu düşünülen yerlerde, daha önemsiz olduğu düşünülen yerlere göre daha fazla ödüllendirildiği gözlemlenmektedir. Ya da bir alt alan adında o zafiyetin olması çok önemli görülmemesi ya da değersiz olarak görülmesine karşın daha çok etkiye sahip olduğu başka bir yerde en önemli zafiyet bile olabilir.

BAZI ÖDÜLLER SİGORTALI İŞTEN DAHA İYİ KAZANDIRIR

Tüm bu süreçlere ek olarak da bir de ödülün size ulaşması aşamasına değinmek gerek. Unutmayın ki verilen ödül bir mecburiyet değil, harcadığınız emeğe bir teşekkürdür.

Bugüne kadar bu programlar vasıtasıyla milyonlarca dolar ödül dağıtılarak binlerce kişiye teşekkür edildi. Bu ödüller çoğu ülkenin gelir düzeyine göre oldukça iyi miktarlarda olduğu için ciddi bir ekonomiye de sahip. Bazı durumlarda sigortalı bir işe girip çalışmaktan kat be kat fazlasını kazanabilirsiniz.

Birçok firma bu ödülleri belirli bir bütçe dahilinde verdiği için size ödemiş olduğu ödülü bulunduğu ülkenin yasaları çerçevesinde belirli süreçlerden geçirmesi gerekiyor. Dolayısıyla ödemeyi SWIFT ya da PayPal gibi yasal yollardan yapmayı tercih ediyorlar. Eğer firmanın bulunduğu ülke başka ülkelere ekonomik yaptırımlar ve ambargolar uygulaNmıyorsa (ör. Amerika menşeili firmalar Küba, Suriye, Kuzey Kore gibi ülkelere ödeme yapmıyor) ödülü almanıza herhangi bir sıkıntı yaşamıyorsunuz. Bitcoin borsası olup da ödül avcılığı programı başlatan firmalar dışında, büyük çapta olup BTC ile ödeme yapan firma yok diye biliyorum.

Bu yollarla elde ettiğiniz gelir bir kazanç olduğu için kazanç vergisi kapsamına giriyor. Dolayısıyla bu vergiyi bazı durumlarda firma karşıladığı gibi bazı durumlarda sizin kazancınız üzerinden kesinti yapılıyor ya da siz ödüyorsunuz. Bu o firmaya ve bulunduğu ülkeye göre değişebilen bir durum. Ek olarak bulunduğunuz ülkenin, firmanın bulunduğu ülke ile olan vergi anlaşmalarını da gözden geçirmekte büyük fayda var.

Tüm bunlardan sonra sizin isminizi sitelerinde yayınlayıp teşekkür ettiklerinde bunun size bir de güzel manevi bir getirisi oluyor. Araştırmacının vatandaşı olduğu ülke ile ilgili ortaya çıkan bir sorunu veya engellemeyi bugüne kadar hiç duymadım. Benim de ismimde bazı Türkçe karakterlerin çok olması sebebiyle ismimi İngilizce karakterlerle yazmak istemeleri gibi bir istek dışında açıkçası başka bir olayla karşılaşmadım. Bunu da oldukça normal bir istek olarak değerlendiriyorum. Çünkü her dilin kendine has harfleri olabiliyor.

Ülkemizden ödül avcılığı programlarına katılan ve oldukça başarılı olan genç arkadaşlarımız var. Kendilerinden teker teker bahsedemesem de hepsini ayrı ayrı tebrik ediyor, başarılarının devamını diliyorum.