Bounty olayı ne kadar mantıklı? Teknik bilgiler ve kriterler ne kadar açık? Türkiye‘de Bug Bounty…

Nedir bu Böcek (Ödül) Avcılığı?

Bildiğiniz gibi Bug Bounty kavramı basit bir tabirle Siber Güvenlik Araştırmacıları ile Son Kullanıcıları Sistem Yöneticisinin süzgeçinden geçirerek buluşturan ödül programlarıdır. Son kullanıcı, ilgili firmalar veya kurumlar aracılığı ile hizmet kapsamında bulunan program, uygulama veya web tabanlı projelerinin IT güvenliğini sağlamak ve/veya geliştirmek maksadıyla çeşitli ödül programları açmak isteyebilir. Burada ki sistem yöneticisinin rolü aracı firma olarak lanse edilmekte ve Siber Güvenlik alanında bir bütün halinde çalışmayı hedeflemektedir ve farkındalık yaratmak açısından oldukça önemlidir.

Son kullanıcı dedik ama tabiî ki büyük oluşumların Bounty veya Acknowledgement programlarında rolü çok önemlidir. Örneğin ülkemiz dışında bir çok Bug Bounty hizmeti veren kurumun listesinde yer alan Microsoft, Google, Facebook v.b gibi firmalar sisteminde tespit edilen zafiyetlerin PoC* kanıtına ve kritiklik durumuna göre çeşitli bir çok ödül vermektedir.

Proof Of Concept denilen raporlama ile açığın bulunduğu alan üzerinden detayların aktarılması ispatın kavramında delil olarak kullanılır.


################################################## ###########

# Application Name : Google Vulnerability

# Vulnerable Type : Cross Site Scripting & Open Redirect & SQL İnjection

# Author : Bahtiyar Paltacı

# Target : https://www.en.advertisercommunity.com/attack.url

################################################## ###########

//Kısa PoC örneği

Ayrıca her kurum her kanıtı kabul etmeyebilir. Bazı kurumlar belirli şartlarda zafiyet (Vulnerability) kabul eder. Genellikle OWASP Top10 Listeleri, Exploit-db vb sistemlerde yer edinmiş açık türleri kabul görülür.

Kurumlar kendi programını açabilir, neden aracı firmaya ihtiyaç duysun?

Önce neden Bug Bounty programları açılması gerektiğine kısaca ve olabildiğince açık bir biçimde değinelim.

Her kurumun bilgi güvenliği alanında yeterli sayıda personel bulundurması günümüzde önemli bir etken olsa da bazı kurumlar bu konuda yetersiz kalmakta. Ayrıca bilgi güvenliği alanında personel bulunduran büyük şirketler dahi kendi personellerinin gözünden kaçabilecek her türlü püf noktasına karşı önlem almak zorundadır.

Durum böyleyken bilgi güvenliği personeli olmayan kurumların dışarıdan müdahalelere karşı web sistemlerini koruması için; bilgi güvenliği personeli olan büyük şirketlerin ise olası bir hacker senaryosu ile personellerin önlemleri dışında gelebilecek tehditleri engellemek için Bug Bounty programlarını kullanması oldukça mantıklı bir mentalite olacaktır.

İyi ama Siber Güvenlik önlemini almak isteyen şahıs/firma bunu kendi sisteminden duyurmak yerine neden bir başka sistem aracılığı ile faaliyet gösteriyor?

Şöyle ki; uluslar arası alanda Siber Güvenlik sektöründe bug bounty / hall of fame programları ile faaliyet gösterip belirli bir databaseǯye erişmiş, elinde ki son kullanıcı veya büyük firma bilgilerini sistem yöneticisi aracılığı ile Siber Güvenlik uzmanına ileten bir yapıdan dolayı…

Kendi sisteminizi her zaman belirli ölçüde duyurabilirsiniz. Fakat Hackerone, Bugcrowd gibi isim yapmış yapıların içerisinde yer alıp sadece Siber Güvenlik sektörüne yönelik bir oluşumda faaliyet göstererek önlemlerinizi almak isterseniz; dünyaya açılırsınız.


//Görsel – 1 BugCrowd Programlarından bazıları

Bu tür sistemlerin içerisinde zafiyet türü, verilecek ödül çeşidi, aylık teşekkür listeleri ve hangi tür zafiyetlerin bulunacağı detaylı olarak girilir ve Siber Güvenlik araştırmacılarına sistem üzerinden public edilir. Gerekli bilgiler tamamen veri sahibinin sınırlarınca belirlenir. Her hangi bir kod, parola veya gizli bilgi içeren bilgiler kesinlikle istenmez. Siber Güvenlik uzmanları kapalı pentest tabiri ile sistemde yer alan uygulamaları hacker gözüyle inceler ve kritik açık bulduğu takdirde sistem yöneticisine ileterek durumu veri sahibine aktarmış olur. Gerektiği takdirde veri sahibi bulunan kritik bir açığın fixlenmesini isteyebilir, bu durumda da sistem yöneticisi veya Siber Güvenlik uzmanı ile kontak kurabilir.

Peki ya ücret? Teşekkür etmenin faydası ne?

Bug bounty programlarında aracı sistem; üzerinden gönderilecek rapor ve detaylı Proof of Concept sonucu ilgili firmadan belirli komisyon alabilir, buna ek olarak açığın fixlenmesi sürecinde de rol alabilir.

Siber Güvenlik araştırmacıları; gönderilecek zafiyetlerin kritiklik derecesine göre hem aracı firmadan hem de zafiyeti bulduğu ilgili firma veya kurumdan yüklü miktarlarda ödül de alabilmektedir.

Program açtıran firma; hem kritik zafiyete karşı vereceği ödülü öncesinde belirlemek zorunda hem de sisteminde Siber Güvenlik araştırmacısının eğer isterse bilgilerinin Hall Of Fame köşesinde yayınlanıp yayınlanmayacağını bildirmek zorundadır. Böylece yayınlanan hall of fame listesinden Siber Güvenlik araştırmacısı referans edinmiş olur ve bir çok Siber Güvenlik firmasında iş başvurularında etkili bir CV’e sahip olabilir.

Ayrıca program açtıran firma zafiyet sonucunda sistemin fixlenmesini açığın giderilmesini bir önceki paragraflarda da belirttiğimiz gibi ya aracı firma ile ya da Siber Güvenlik uzmanı ile çözebilir.


//Görsel 2 - Adobe Hall of Fame List

Türkiye‘de Bug Bounty

Ülkemizde Bug Bounty alanında ki çalışmalara değinmeden önce; Siber Güvenlik alanında ne kadar etkiliyiz bunu kapsamlıca düşünmek gerekir. Kamu kurum ve kuruluşlarımız ve özel sektörün iş birliği neticesinde yapılan çalışmalar son zamanlarda etkisini göstermekte fakat sadece sektöre hitap edebilmekteyiz.

Geniş bir perspektif den Siber Güvenliği ele aldığımızda vatandaşlarımızın %9Ͳǯı maalesef konuya net hakim olamamakta. Sosyal Medyaǯnın yaygınlaşması ve her türlü APIǯnın gerek sosyal mecralarımızı gerek akıllı telefonlarımızı karınca misali heba etmesi, oluşan riskler bakımından ne kadar ileri gidilebileceği gerçekten düşünülmesi gereken bir konudur.

Fazla uzatmadan sektör bakış açısıyla yaklaşırsak; ülkemizde Siber Güvenlik Farkındalığını artırmak isteyen ve bu alanda çalışmalar yapan bir çok kurum , üniversite topluluğu ve dernek bulunmakta. Geçtiğimiz yıllarda Bug Bounty alanında Workspace tarzında çalışmalar olduğunu görmüştük fakat bu çalışmaların sadece yarışma odaklı veya geçici olması nedeniyle kalıcı bir Bug Bounty Platformu Türkiyeǯde tam anlamıyla oluşmuş değil.

Fakat son zamanlarda Siber Güvenlik alanında konferans veya etkinliklerde eğitim alanları, CTF ödülleri gibi aktivitelerin yanında Bug Bounty tarzı yaklaşımlar da sergileniyor. Yine bu alanda kalıcı bir faliyette bulunmak isteyen oluşumlar da söz konusu.

Bütün bunların yanında uluslar arası alanda ödül avcılığı programları aracılığı ile ismini bir çok firmaya yazdıran Siber Güvenlik uzmanlarımız da mevcut.

Ne yapılmalı ?

Bug bounty alanında kalıcı bir platfrom olacaksa özel sektörün ve devlet kurumlarının bu tür oluşumlara destek vermesi farkındalığın artması açısından çok önemlidir.

İllegal hack grupları veya hacktivist oluşumların kamu kurumlarımıza, üniversitelere, bankalara, özel sektöre, medya kuruluşlarına gerçekleştirebileceği saldırılar veyahut sosyal mühendislik yöntemleriyle ele geçirilebilecek her türlü veriler büyük bir senaryo ile ele alınacağı için bu tür sistemlerin Siber Güvenlik alanında Bug Bounty programları açması hayati önem arz etmektedir.

İllegal oluşumlara karşı Siber Güvenlik önlemlerinde en etkili yöntem Siber Güvenlik sektöründe hedeflenen sistemlerin hacker gözüyle ele alınarak incelenmesi ve bunun sonucunda elde edilen zafiyetin ortadan kaldırılmasıdır. Buna en uygun proje ise Bug Bounty programlarıdır…

Bug Bounty alanına yönelik hangi çalışmalar var?

Yukarıda ki paragrafta da belirttiğim gibi Bug Bounty alanında yapılan çalışmalarda projeler veya etkinlikler bazında güzel çalışmalar oluyor. Fakat Hackerone, Bugcrowd gibi sadece bu alana yönelik kalıcı bir yapıya sahip oluşumlar epey az.

2016 yılında Bugworry bu amaçla kurulmuş olup alt yapı bakımları nedeniyle şuanda kapalı durumda ve tekrar açılması bekleniyor. Yine son zamanlarda adını DKHOS CTF ile duyduğumuz Invictus/Prodaft firmasının Milli Hacker adı altında Bug Bounty platformuna yönelik çalışmaları olduğu görülüyor.

Bu tür kalıcı yapıların artarak çoğalması ve önce sektörde daha sonra da genel olarak farkındalığı artırabilmesi dileğiyle…

https://www.bg.org.tr/News.asp?X=Read&ID=560