Nedir Bug Bounty?
Şirketler farklı gözlerle sistemlerini test ettirmek ve güvenliklerini pekiştirmek için iyi niyetli güvenlik uzmanlarına, “benim sistemimi test et, açık bulursan sana para öderim” diyor. İyi niyetli güvenlik uzmanı (ki buna beyaz şapkalı hacker(ethical) de denebilir) sistemde bir zafiyet bulduklarında bunu şirkete raporluyor. Şirket açığı kapatıp, güvenlik uzmanına da bulduğu açık için bir ücret ödüyor. Alan memnun, satan memnun meselesi. Şirket açığının farkında olup açığı kapattığı için +1 güvenli bir sisteme sahip olmuş olmakla memnun, güvenlik uzmanı ise buradan para kazanmakta.
Türkiye’de durum ne?
Türkiye’de durum yukardakinden biraz daha farklı. Bir arkadaş grubu ile bir yere gittiğinizde, sanatla ilgilenen arkadaşınız hemen duvardaki tablolara yapışacak. Parke işi yapan varsa, yerdeki parkenin kalitesine, döşenme şekline bakacak. İç mimarsa mekanın dizaynını inceleyecek. E sadece bizde değil? Her mesleğin doğasında var demekki. Biz ne yapıyoruz? Bir sisteme girdiğimizde, artık el alışkanlığı haline gelmiş olarak sistemin güvenlik açığı olabilecek yerlere hemen bir iki test yapıp güvenli olup olmadığına bakıyoruz. Bunda yanlış bir şey var mı? Ben yok olarak görüyorum ama ilgili kanun, yapacağınız testi saldırı olarak gösterip, loglar ile mahkemede size 6 yıl hapis cezasını verdirebilir mi? Evet!
Ama illa böyle olacak diye birşey de yok sonuçta.Son 1 yıldır bizim ülkemizde de bug bounty ile oldukça ilgilenen, hatta bu işi kendine meslek haline getirmiş siber güvenliğe meraklı arkadaşlar mevcut aramızda 🙂
Türkiye’de Bug Bounty olsa ne olur?
Yurt dışında, bu programı kabul etmiş şirketlere saldırdığınızda, daha doğrusu test yaptığınızda şirketler size karşı dava açmıyor. Açık bulursan, paranı alırsın. Açık yoksa, güvendeyiz demekki diyerek işlerini yapmaya devam ediyorlar. Türkiye’de ismini vermeyeceğim ama teknoloji konusunda çok ciddi yatırımları olan GSM şirketlerinden bir tanesine siz en ufak bir test uyguladığınızda, testin farkında olup olmamaları hiç önemli değil. Siz bu zafiyeti, kendilerine raporladığınızda size çok hızlı bir dönüş yapılıyor! Ama baktığımızda bize dönüş yapan, firmanın IT birimi değil, Güvenlik birimi değil, Yönetim birimi değil. HUKUK Birimi! Tespitiniz yapıldığı anda, sistemlere saldırmaktan hakkınızda dava açılıyor. Siz iyi niyet göstergesi olarak, elinizde zafiyet bildirimini bulundursanız dahi, bu Türkiye şartlarında pek geçerli olmuyor.
Bu işin en kötü tarafı. Ya hiç cevap almayacaksınız, sallanmayacaksınız. Ya şirket size dönüş yapıp “Sağolasın kardeş ya” diyecek. Ya hakkınızda dava açılacak, aylarca veya hatta yıllarca sürüneceksiniz.
Türk şirketlerinde şimdilik durum bu. Pek önemsenmiyor sistemi test etmek,güvenliğini kontrol etmek vs.. (İlerleyen yıllarda değişmesini ümit ederek devam ediyorum)
ŞİMDİ GELELİM FAYDALARINA…
Bug Bounty Faydaları
1- İnsanlara karşı “güven” verebilmenin bence ideal yollarından bir tanesidir. Biz korkmuyoruz, açık ve şeffafız.
2- Güvenlik uzmanlarına her yıl tonla para vermektense, freelance yaptırarak çok az bir parayla bu işi çözebiliyorsunuz.
3- Yıllarca aynı şirkete güvenlik testi yaptırıp hacklenen, onlarca şirket biliyoruz değil mi? Farklı gözler her zaman daha iyidir.
4- Farklı alanlarda uzman, farklı şeyler düşünen belki binlerce insan sizin sisteminizi elden geçiriyor. Bu büyük avantaj.
5- Hep sabit güvenlik sınırlarında kaldığınızda kendinizi geliştirme şansınız malesef yok. Bu programlarla sürekli açıklarınızı kapatarak “güvenli sistem” konusunda ibrenizi bir tık yukarıya taşıyabilirsiniz.
6- Güvenlik açığı bildirimi geldiğinde, oturup bu açık üzerinden ne tür işlemler yapılmış olabilir, veya yapılabilir diye toplantı yaparak, olası bir sızma sonucunda yapılacak “acil müdahale merkezi” oluşturabilirsiniz.
Bu ve bunun gibi bir çok sebep sayılabilir. Şu an Nasa gibi dev kurumlar kendilerini hackleyecek insanlar arıyor. Pentagon iştah kabartıcı tekliflerde bulunuyor. Olay dünyada bu şekildeyken, ülkemizde hala şekillenmemiş olması, şekillenmiyor olması biraz üzücü.
Bir devlet kurumunda zafiyet bulduğunuzda, öncelikle gidip ilgili kişilerle görüşerek, devletin böyle bir açığı var bunu kapatın diye uyarma hissiyatına kapılıyorsunuz. Gidip durumu anlattığınızda “tehdit” ediliyormuş hissiyatına kapılarak, sizi düşman olarak görerek içinizdeki tüm iyi niyet suistimal ediliyor. Burada yatan sebepte tam olarak şu aslında. İnsanlar yaptıkları işlere güvenmiyor. Bir yazılımcı yaptığı bir yazılımın zafiyeti olabileceği ihtimalini düşünmüyor. Zafiyet olduğu an “becerememiş” psikolojisine kapılmaktan ısrarla vazgeçmiyor. Bu kötü bir durum tabiki. Ama ne yazılımcı ile alakalı ne de yönetici ile alakalı bir konu değil bu güvenlik meselesi. Yazılımcı yaptığı yazılım dolayısıyla kınanacak değil, yönetici de koltuğundan olacak değil. Bir eve hırsız girdiği zaman polis çelik kapıyı satan firmanın peşine düşmüyor. Niye güvenli değil diye. Sen elinden geldiğince güvenlik önlemi aldıysan, senlik konu zaten kapanmış demektir.
Yani arkadaşlar Bug Bounty programları en basitinden kişinin kendisini geliştirmesi açısından oldukça verimli programlardır.Hem kendini test ediyorsun aşama katediyorsun hemde para kazanıyorsun bu bence gayet iştah açıcı.Tavsiye ediyorum , şimdiden iyi çalışmalar…
(ismail beye teşekkürler)