• Oturum aç
Tech News, Magazine & Review WordPress Theme 2017
  • Haberler
  • Kategoriler
    • Bilim
    • Teknoloji
    • Girişimcilik
    • Kripto Para
    • Oyun
    • Yazılım
    • Otomotiv
    • Kültür Sanat
    • Tasarım
    • Savunma Sanayi
    • Siber Güvenlik
  • Etkinlikler
  • Mühendislikler
  • Mühendisin Köşesi
Sonuç yok
Tüm Sonuçları Görüntüle
MühendisBilir
Sonuç yok
Tüm Sonuçları Görüntüle

BUG BOUNTY PROGRAMLARI HAKKINDA HERŞEY

Mühendis Bilir Mühendis Bilir
29/11/2020
Okuma Zamanı: 4 dk.
141 9
0
BUG BOUNTY PROGRAMLARI HAKKINDA HERŞEY
Share on FacebookShare on Twitter

Nedir Bug Bounty?

Şirketler farklı gözlerle sistemlerini test ettirmek ve güvenliklerini pekiştirmek için iyi niyetli güvenlik uzmanlarına, “benim sistemimi test et, açık bulursan sana para öderim” diyor. İyi niyetli güvenlik uzmanı (ki buna beyaz şapkalı hacker(ethical) de denebilir) sistemde bir zafiyet bulduklarında bunu şirkete raporluyor. Şirket açığı kapatıp, güvenlik uzmanına da bulduğu açık için bir ücret ödüyor. Alan memnun, satan memnun meselesi. Şirket açığının farkında olup açığı kapattığı için +1 güvenli bir sisteme sahip olmuş olmakla memnun, güvenlik uzmanı ise buradan para kazanmakta.

İLGİLİ İÇERİKLER

Adli Otopsinin Ortaya Çıkmasını Sağlayan İlk Seri Katil: Jack

TryHackMe ~ Recovery

Malware Analiz Aşamaları

Türkiye’de durum ne?

Türkiye’de durum yukardakinden biraz daha farklı. Bir arkadaş grubu ile bir yere gittiğinizde, sanatla ilgilenen arkadaşınız hemen duvardaki tablolara yapışacak. Parke işi yapan varsa, yerdeki parkenin kalitesine, döşenme şekline bakacak. İç mimarsa mekanın dizaynını inceleyecek. E sadece bizde değil? Her mesleğin doğasında var demekki. Biz ne yapıyoruz? Bir sisteme girdiğimizde, artık el alışkanlığı haline gelmiş olarak sistemin güvenlik açığı olabilecek yerlere hemen bir iki test yapıp güvenli olup olmadığına bakıyoruz. Bunda yanlış bir şey var mı? Ben yok olarak görüyorum ama ilgili kanun, yapacağınız testi saldırı olarak gösterip, loglar ile mahkemede size 6 yıl hapis cezasını verdirebilir mi? Evet!

Ama illa böyle olacak diye birşey de yok sonuçta.Son 1 yıldır bizim ülkemizde de bug bounty ile oldukça ilgilenen, hatta bu işi kendine meslek haline getirmiş siber güvenliğe meraklı arkadaşlar mevcut aramızda 🙂

Türkiye’de Bug Bounty olsa ne olur?

Yurt dışında, bu programı kabul etmiş şirketlere saldırdığınızda, daha doğrusu test yaptığınızda şirketler size karşı dava açmıyor. Açık bulursan, paranı alırsın. Açık yoksa, güvendeyiz demekki diyerek işlerini yapmaya devam ediyorlar. Türkiye’de ismini vermeyeceğim ama teknoloji konusunda çok ciddi yatırımları olan GSM şirketlerinden bir tanesine siz en ufak bir test uyguladığınızda, testin farkında olup olmamaları hiç önemli değil. Siz bu zafiyeti, kendilerine raporladığınızda size çok hızlı bir dönüş yapılıyor! Ama baktığımızda bize dönüş yapan, firmanın IT birimi değil, Güvenlik birimi değil, Yönetim birimi değil. HUKUK Birimi! Tespitiniz yapıldığı anda, sistemlere saldırmaktan hakkınızda dava açılıyor. Siz iyi niyet göstergesi olarak, elinizde zafiyet bildirimini bulundursanız dahi, bu Türkiye şartlarında pek geçerli olmuyor.

Bu işin en kötü tarafı. Ya hiç cevap almayacaksınız, sallanmayacaksınız. Ya şirket size dönüş yapıp “Sağolasın kardeş ya” diyecek. Ya hakkınızda dava açılacak, aylarca veya hatta yıllarca sürüneceksiniz.

Türk şirketlerinde şimdilik durum bu. Pek önemsenmiyor sistemi test etmek,güvenliğini kontrol etmek vs.. (İlerleyen yıllarda değişmesini ümit ederek devam ediyorum)

ŞİMDİ GELELİM FAYDALARINA…

Bug Bounty Faydaları

1- İnsanlara karşı “güven” verebilmenin bence ideal yollarından bir tanesidir. Biz korkmuyoruz, açık ve şeffafız.

2- Güvenlik uzmanlarına her yıl tonla para vermektense, freelance yaptırarak çok az bir parayla bu işi çözebiliyorsunuz.

3- Yıllarca aynı şirkete güvenlik testi yaptırıp hacklenen, onlarca şirket biliyoruz değil mi? Farklı gözler her zaman daha iyidir.

4- Farklı alanlarda uzman, farklı şeyler düşünen belki binlerce insan sizin sisteminizi elden geçiriyor. Bu büyük avantaj.

5- Hep sabit güvenlik sınırlarında kaldığınızda kendinizi geliştirme şansınız malesef yok. Bu programlarla sürekli açıklarınızı kapatarak “güvenli sistem” konusunda ibrenizi bir tık yukarıya taşıyabilirsiniz.

6- Güvenlik açığı bildirimi geldiğinde, oturup bu açık üzerinden ne tür işlemler yapılmış olabilir, veya yapılabilir diye toplantı yaparak, olası bir sızma sonucunda yapılacak “acil müdahale merkezi” oluşturabilirsiniz.

Bu ve bunun gibi bir çok sebep sayılabilir. Şu an Nasa gibi dev kurumlar kendilerini hackleyecek insanlar arıyor. Pentagon iştah kabartıcı tekliflerde bulunuyor. Olay dünyada bu şekildeyken, ülkemizde hala şekillenmemiş olması, şekillenmiyor olması biraz üzücü.

Bir devlet kurumunda zafiyet bulduğunuzda, öncelikle gidip ilgili kişilerle görüşerek, devletin böyle bir açığı var bunu kapatın diye uyarma hissiyatına kapılıyorsunuz. Gidip durumu anlattığınızda “tehdit” ediliyormuş hissiyatına kapılarak, sizi düşman olarak görerek içinizdeki tüm iyi niyet suistimal ediliyor. Burada yatan sebepte tam olarak şu aslında. İnsanlar yaptıkları işlere güvenmiyor. Bir yazılımcı yaptığı bir yazılımın zafiyeti olabileceği ihtimalini düşünmüyor. Zafiyet olduğu an “becerememiş” psikolojisine kapılmaktan ısrarla vazgeçmiyor. Bu kötü bir durum tabiki. Ama ne yazılımcı ile alakalı ne de yönetici ile alakalı bir konu değil bu güvenlik meselesi. Yazılımcı yaptığı yazılım dolayısıyla kınanacak değil, yönetici de koltuğundan olacak değil. Bir eve hırsız girdiği zaman polis çelik kapıyı satan firmanın peşine düşmüyor. Niye güvenli değil diye. Sen elinden geldiğince güvenlik önlemi aldıysan, senlik konu zaten kapanmış demektir.

Yani arkadaşlar Bug Bounty programları en basitinden kişinin kendisini geliştirmesi açısından oldukça verimli programlardır.Hem kendini test ediyorsun aşama katediyorsun hemde para kazanıyorsun bu bence gayet iştah açıcı.Tavsiye ediyorum , şimdiden iyi çalışmalar…

 

 

 

 

 

(ismail beye teşekkürler)

İçeriklerden ilk siz haberdar olmak ister misiniz?

Abonlikten Çık
Mühendis Bilir

Mühendis Bilir

İlişkili Gönderiler

Adli Otopsinin Ortaya Çıkmasını Sağlayan İlk Seri Katil: Jack

Adli Otopsinin Ortaya Çıkmasını Sağlayan İlk Seri Katil: Jack

15/02/2021
1.5k
trayhackme-recovery-muhendisblir-gorsel

TryHackMe ~ Recovery

23/01/2021
1.5k
malwere-analizi-muhendisbilir-saniyenur

Malware Analiz Aşamaları

23/01/2021
1.5k
MAL: Malware Introductory

MAL: Malware Introductory

08/12/2020
1.5k
Tartışmaya katılmak için lütfenGiriş Yapın

Trend.

Mevcut İçerik Yok

Mühendisin Köşesi.

Mekatronik Mühendisliği Bölümü Nedir?

Mekatronik Mühendisliği Bölümü Nedir?

10/11/2020
1.5k
Makine Mühendisliği Bölümü Nedir?

Makine Mühendisliği Bölümü Nedir?

10/11/2020
1.5k

Gıda Mühendisliği Nedir ve İş İmkanları Nelerdir?

19/07/2020
1.5k
  • Gizlilik Politikası
  • Hakkımızda
  • Yazarlar
  • Yazarımız Ol
  • Sosyal Medya Sponsorluğu
  • İletişim

© 2021 Muhendis Bilir - Powered by

Sonuç yok
Tüm Sonuçları Görüntüle
  • Haberler
  • Etkinlikler
  • Mühendislikler
  • Mühendisin Köşesi
  • Kategoriler
    • Bilim
    • Girişimcilik
    • Kültür Sanat
    • Otomotiv
    • Savunma Sanayi
    • Siber Güvenlik
    • Tasarım
    • Teknoloji
  • Sosyal Medya Sponsorluğu
  • Yazarımız Ol
  • Oturum aç

© 2021 Muhendis Bilir - Powered by

Tekrar hoşgeldiniz!

Google ile giriş yap
Veya

Hesaba giriş yap

Şifremi unuttum

Yeni hesap oluştur

Sign Up with Google
Veya

Kayıt olmak için formu doldurun

Tüm Alanlar Zorunludur Oturum aç

Şifrenizi Geri Alın

Şifreyi sıfırlamak için ayrıntı girin

Oturum aç

Yeni Oynatma Listesi Ekle

Veri politikasındaki amaçlarla sınırlı ve mevzuata uygun şekilde çerez konumlandırmaktayız. Detaylar için Gizlilik Politika'mızı inceleyebilirsiniz. .