Bug Bounty, belli bir yazılımın açıklarının bulunması (bug) amacıyla yazılımın sahibi şirket tarafından herkesin katılımına açık olarak gerçekleştirilen güvenlik yarışmalarıdır.
Türkçede Ödül Avcılığı olarak da kullanılan Bug Bounty yarışmalarının amacı, şirketlerin yazılımlarının güvenliklerini sınaması ve bu doğrultuda ortaya çıkan açıkların giderilerek daha gelişmiş, güvenli bir yazılımın ortaya çıkarılmasıdır.
Bug Bounty yarışmaları sayesinde şirketler güvenlik şirketlerinin yanı sıra tüm son kullanıcılara ve geliştiricilerle yazılımları sınama şansı elde eder. Rapor edilen bugların giderilmesiyle de Bug Bounty programı başarıyla tamamlanarak ödüller dağıtılır.
Bug Bounty Programları
Sayısız yazılım geliştiricisi veya internet sitesi Bug Bounty yarışmaları gerçekleştirerek sistemleri üzerindeki açıkları keşfetmesi için hackerlarla çalışma şansı elde eder. Çoğu zaman beyaz şapkalı hacker olarak adlandırılan White Hat Hacker grubuna dahil bilgisayar korsanları bu programlara katılarak hem kendi yeteneklerini dener hem de yazılımın güvenlik sınırının öğrenilmesine yardımcı olur.
Bu tarz yarışmaların tümü mutlaka ödül üzerine gerçekleştirilir. Ödül bazen nakit olurken bazen firmanın sunduğu servislerle ya da diğer fırsatlarla ilişkili olabilir. Misal, Mozilla gerçekleştirdiği bir yarışmanın kazananına 3,000 dolar para ödülü sunarken; Facebook tek bir açığı kendilerine bildiren bir internet korsanına 20,000 dolar ödeme gerçekleştirmiştir.
Bug Bounty programlarında, programın sahibinin büyüklüğü ve yazılımın ciddiyeti de her zaman ödülün daha yüksek olması anlamına gelir. Örneğin; 2012 Yılında Google, Chrome işletim sistemi üzerinde keşfedilen açıklara karşılık 700,000 dolar ödül dağıtmıştır. Microsoft ise Windows 8.1’deki ölümcül bir açığı fark eden geliştiriciye 100.000 dolar ödül vermiştir.
Her şirket kendi Bug Bounty yarışmasını düzenlerken farklı kurallar belirleyip, bu kurallara uyulmasını bekleme hakkına sahiptir. Bu nedenle Bug Bounty programlarına katılmayı düşünen bilişimcilerin sistemi incelemeden önce şartları okuması ve yarışmanın detaylarına hakim olması önemlidir.
Bug Bounty Yarışmalarında Rapor Anlamları
Triaged : Firmaların raporlarının çalışıp çalışmadığını kontrol ederek gönderdiğiniz rapordan güvenlik açığının onaylandığını göstermektedir.
Daha fazla bilgi gerekiyor : Gönderdiğiniz raporların eksik veya daha detaylı olması için daha fazla bilgi vermenizi ister.
Duplicate : Raporunuz daha önce başka biri tarafından gönderildi anlamına gelir.
Bilgilendirici : Raporunuz altında veya kapsam dışı bilgilendirilerek kapatılır.
Çözüldü : Raporunuzun onaylandığını ifade etmektedir.
Uygulanamaz : Var olmayan bir açık tespiti verdiğiniz zaman verilen cevaptır.
Kilitli : Rapor kilitlenir ve değiştirilemez hale gelmektedir.
Süreç Nasıl İşlemektedir?
İlk aşama olarak hedef belirlenmektedir. Sonrasında programın açıklama kısmındaki kuralları ve istenilen zafiyetlere odaklanılır. Aynı zamanda belirtilen alan adreslerine. Kabul edilen ve edilmeyen açıklar tespit edilip ona göre işlem yapılır. Ondan dan programlardaki çok okumak. Kapsam alanı içinde etki alanı kendi araştırmasına ve uygulamasına göre özgürlerdir. Önemli olan bulduğunuz açığın kabul edilebilirdir. Son adım olarak elde tuttuğumuz ve bulduğumuz açıklar rapor halinde gönderilir. Raporlar programı sahibine iletilmelidir. Bir süre sizi bekletip açığı kapatacaklardır. Ondan sonra ise raporunuzu onaylayıp açığın derecesine göre ücret vermektedirler.
Bug Bounty Üzerinde Nasıl Uzmanlaşabilirim?
Bug Bounty yarışmalarında en çok ele alınan konu web güvenliğidir. Web güvenliği alanında daha fazla bilgi edinmeli, sonrasında ise açıkları öğrenmelisiniz.
https://github.com/OWASP/Top10
Yukardaki github üzerinde bulunan owasp Top10 açıkları ile oldukça çok karşılaşacaksınız. Bu alanda ilerlemek istiyorsanız web açıkları üzerinde yoğunlaşmanız gerekiyor. Youtube üzerinden röportaj ve konferans videolarını izleyerek işin temel mantığını kavramanız ilerlemenizi daha da hızlandıracaktır.
Ayrıca İngilizce bilgisi önemlidir. Çünkü web açıklarında ilerledikçe Türkçe içerik bulamamaya başlayacaksınız. İnsanlara sormak ve onları yormak yerine kendi imkanlarınızı kullanarak gitmeniz sizi daha kaliteli ve istikrarcı yapar.
Bilgi toplamak da kilit noktalardan biridir. Bir sistem nasıl ve ne mantığı ile çalıştığını anlamak size bir gidiş yolu açar. Ne yapacağınıza karar verir. Bu alanda herhangi bir ön bilginiz yok ise ilk olarak ağ teknolojisi bilgine sahip olmanız gerekir.
Yazılım dillerine hakim olmanızda son derece önemli tabi ki. Php ve Jawa Script gibi web dillerine hakim olmamız önemlidir. Bu diller üzerinde oluşabilecek açıkları kavrayıp faaliyet göstermeniz gerekir.
Bunun yanında ek olarak Linux işletim sistemi hakkında bilgi sahibi olmanız da ilerlemenizi hızlandıracaktır.
Düzenlenen Bug Bounty Yarışmalarını Bulmak
Yarışmaları bulmak ve katılmak için güvenlik ve teknoloji sektörüyle ilgili internet sitelerini sürekli mercek altında tutmanız gerekir. Takip edeceğiniz kaynaklar aracılığıyla hangi yazılım şirketi veya internet sitelerinin yarışma düzenlediğinden haberdar olabilir ve katılabilirsiniz.
Türkçe dilinde teknoloji sitelerini takip etmeniz Bug bounty programlarından haberdar olmanız için yeterli olacaktır. Yine de aşağıdaki kaynakları kullanarak sürekli olarak aktif olan yarışmalara erişebileceğinizi unutmayın.
- https://www.wmaraci.com
- https://bugcrowd.com
- https://www.vulnerability-lab.com
- https://hackerone.com
- https://firebounty.com
İlk yorum yapan olun