Bug Bounty Nedir?

Son yıllarda, Bug Bounty programları dünyanın dört bir yanındaki şirketler ve kuruluşlar arasında giderek daha popüler hale geldi. Şu anda Bug Bounty, bireyleri yazılım veya sistemlerindeki güvenlik açıklarını veya hataları bildirmeye teşvik etmek için, kripto alanındaki platformlar da dahil olmak üzere, birçok şirket tarafından sunulan bir program. Bu programlar, sistemlerindeki veya yazılımlarındaki güvenlik açıklarını/hataları bulan ve bildiren kişilere ödüller sunuyor. Bu makalede, Bug Bounty (hata ödülü) programlarının ne olduğunu, nasıl çalıştığını, nasıl Bug Bounty avcısı olunacağını, bazı Bug Bounty program örneklerini ve bu programların artılarını ve eksilerini inceleyeceğiz. İşte detaylar…

Bug Bounty nedir?

Bug Bounty; “iyi niyetli”, yani “white hat hackerların” yazılım, web siteleri ve genel olarak bilgisayar sistemlerindeki hataları/güvenlik açıklarını bir ödül karşılığında bildirmelerine olanak tanır. Bu ödül sisteminin arkasındaki fikir, bireyleri hataları bulmaya ve bildirmeye teşvik etmek. Böylece güvenlik açıkları “kötü niyetli aktörler” tarafından istismar edilmeden önce düzeltilebiliyor. Bug ödülleri genellikle ürünlerinin veya hizmetlerinin güvenliğini artırmak isteyen şirketler veya kuruluşlar tarafından sunuluyor. Bu programlar ayrıca devlet kurumları ve kâr amacı gütmeyen kuruluşlar tarafından da kullanılıyor. Bu kuruluşlar güvenliklerini artırmayı ve varlıklarını korumayı amaçlıyor.

Elbette bu ödül sistemi, en büyük teknolojik yeniliklerden biri olan Blockchain ve kripto para alanında da kullanılıyor. Bug Bounty, kripto alanındakiler de dahil olmak üzere birçok şirket tarafından sunulan bir program oldu. Kripto alanı bağlamında bakarsak; hata ödülleri kripto para borsaları, cüzdan sağlayıcıları ve Blockchain platformları tarafından sunuluyor. Kripto para şirketlerinin sunduğu hata ödülleri, genellikle kripto para şeklinde oluyor. Ödüller, güvenlik açığının ciddiyetine bağlı olarak, küçük miktarlarda kripto para biriminden çok daha büyük meblağlara kadar değişebiliyor.

Sonuç olarak hata ödülleri sistemi, çeşitli kripto platformlarını ve protokollerini test etmeniz ve bunlardaki kusurları tespit etmeniz karşılığında çabalarınızın karşılığını verme temeli üzerine kurulmuştur. Ancak ödülü veren projeler de bu durumdan kârlı çıkıyor. Zira projelerin yüzlerce kişi tarafından incelenmesi, güvenlik açısından oldukça önemli bir aşama.

Bug Bounty programları nasıl çalışır?

Bug Bounty programları şirketler arasında farklılık gösterebilir, ancak belirli yönleri benzerdir. Bir ödül programına başlamak için bir şirket öncelikle parametreleri ve bütçeyi belirler. Ayrıca programın kapsamı da önemlidir. Bir white hat hackerın test etmesine izin verilen sistemler, araçlar veya yazılımlar belirtilir. Belirlenen kapsam dahilinde bir açık keşfedilirse, hacker, riskin bir dökümünü çıkarır. Ayrıca güvenlik açığının tanımını, olası etkisini ve düzeltme önerilerini içeren bir rapor sunar. Özetlemek gerekirse, Bug Bounty programları genellikle şu adımları izler:

• Bir şirket veya kuruluş, bir Bug Bounty programı olduğunu duyurur. Ne tür güvenlik açıkları aradıklarını söyler ve sundukları ödüller hakkında bilgi verir.
• Programa katılmak isteyen bireyler, eğer gerekiyorsa, başvuru yapar.
• Katılımcılar daha sonra şirketin yazılım veya sistemlerini, belirlenen koşullara uygun olarak güvenlik açıklarına karşı test ederler.
• Bir katılımcı bir güvenlik açığı bulursa, bunu daha önce belirlenmiş şekilde şirkete bildirir.
• Şirket, güvenlik açığını doğrular ve müşteriler üzerindeki etkisine göre bir “önem derecesi” atar.
• Güvenlik açığı geçerliyse, şirket, katılımcıyı kararlaştırılan tutarla ödüllendirir.

Bu arada, Bug Bounty programı, kimi zaman kötü niyetli hackerlar için de geçerli olabiliyor. Zira yalnızca Nisan ayında, DeFi alanında hackerların istismar edilen fonları iade ettiği en az üç olay yaşandı. 4 Nisan'da Euler Finance ekibi, hacker'a çalınan fonların yüzde 10'unu teklif ettikten sonra 176,4 milyon doları kurtarmayı başardı. Benzer şekilde, borç verme protokolü Sentiment, bilgisayar korsanıyla pazarlık yaptıktan sonra çalınan fonların yaklaşık 1 milyon dolarını kurtarmayı başardı. Son olarak, DeFi protokolü SafeMoon'dan 8.9 milyon dolar çalmayı başaran bir hacker, fonların yüzde 80'ini iade etmeyi kabul etti.

Nasıl Bug Bounty avcısı olunur?

Hata ödül avcısı olma kavramı giderek daha popüler hale geldi, ancak bu basit bir süreç değil. Yetenekli bir hata avcısı olmak için ağ, kodlama, güvenlik ve bulut bilişim gibi çeşitli alanlarda ve bu alanların nasıl kesiştiği konusunda kapsamlı bilgi ve uzmanlığa sahip olmak gerekir. Bir hata ödül avcısı olmak için, bu becerilerin geliştirilmesine yardımcı olabilecek çok sayıda eğitim programı mevcut. İnternet tabanlı materyaller, kurslar, “peer” grupları, CTF programları ve gerçek zamanlı ödül programları gibi kaynakların tümü kişinin bilgi ve becerilerini geliştirmesinde yardımcı olabilir. Sonuç olarak, birçok uzmana göre, bir kişi ne kadar bilgili ve hazırlıklı olursa, Bug Bounty avcılığı alanında o kadar başarılı olacaktır.

Ayrıca aşağıdaki adımlar başarılı bir Bug Bounty avcısı olmanıza yardımcı olabilir:

• Farklı güvenlik açığı türleri ve bunları tespit etmek için kullanılan araçlar hakkında bilgi edinin.
• Çeşitli Bug Bounty platformlarına katılın.
• Pratik yapmak ve bir portföy oluşturmak için açık kaynaklı yazılımlardaki güvenlik açıklarını bulun.
• Pratik/deneyim kazanmak için CTF yarışmalarına katılın.
• Diğer Bug Bounty avcıları ve güvenlik uzmanları ile ağ kurarak onların deneyimlerinden yararlanın.

Bug Bounty programı örnekleri

Şimdiye kadar Google, Facebook ve Microsoft da dahil olmak üzere birçok şirket ve kuruluş; ağlarındaki olası bir hatayı düzeltmek adına Bug Bounty programları uyguladı. Bug Bounty programlarına verebilecek en büyük örnekler ise aşağıdaki şekilde:

• Google'ın “Bug Hunters” programı, sistemlerindeki güvenlik açıklarını bulup bildirenlere 30.000 dolara varan ödüller sunuyor.
• ABD Savunma Bakanlığı'nın "Hack the Pentagon" programı, sistemlerinde bulunan güvenlik açıkları için ödüller sunuyor.
• Airbnb'nin Bug Bounty programı, platformlarındaki güvenlik açıklarını bulup bildirenlere 5.000 dolara kadar ödül veriyor.
• GitHub'ın Bug Bounty programı, platformlarında bulunan güvenlik açıkları için 30.000 dolara kadar ödüller sunuyor.
• Shopify, 1,5 milyon dolardan fazla toplam ödül havuzu ile kritik güvenlik açıkları için 30.000 dolara kadar ödeme yapan bir hata ödül programı sunuyor. Program, Aralık 2020'de bir hacker’ın satıcı hesaplarına yetkisiz erişim gibi bir kusur bildirmesiyle faydalı olduğunu kanıtladı.
• Yelp bugüne kadar Bug Bounty programı aracılığıyla 300'den fazla güvenlik açığını çözdü.
• Mail.ru Group, 2014'ten bu yana hata ödül programı aracılığıyla 4.300'den fazla güvenlik açığını çözdü. Bugüne kadar toplamda 1 milyon doların üzerinde hata ödülü ödediler ve en kritik hatalar için 35.000 dolara varan ödüller sunuyorlar.
• Kripto para alanında ise halihazırda NEAR Protocol, Aurora, VeChain ve DODO gibi kripto para projeleri bounty programı sunmakta. Öyle ki, mevcut durumda, bug bounty programı sunan projelerin vereceği ödüllerin toplamı 4.8 milyon dolar civarında. 

Bug Bounty programlarını kimler kullanır?

Apple, Android, AOL, Digital Ocean, Goldman Sachs gibi büyük şirketler hata ödül programlarını güvenlik programlarının bir parçası olarak kullanmakta. Ayrıca Bug Bounty programları, teknoloji şirketleri, finans kurumları, sağlık hizmeti sağlayıcılarının yanı sıra devlet kurumları tarafından da kullanılmakta. Bug Bounty programlarını uygulayan bazı kuruluşlar şu şekilde:

• Google
• Facebook
• Apple
• Uber
• GitHub
• Dropbox
• Airbnb
• Tesla
• ABD Savunma Bakanlığı

Bug Bounty programlarının artıları ve dezavantajları

Bug Bounty Programları aşağıdakiler de dahil olmak üzere birçok fayda sunar:

• Geliştirilmiş güvenlik: Bug Bounty Programları, bireyleri güvenlik açıklarını bulmaya ve bildirmeye teşvik eder. Böylece, kuruluşların güvenlik sorunlarını kötü niyetli aktörler tarafından istismar edilmeden önce tespit etmelerine ve düzeltmelerine yardımcı olur.
• Uygun maliyet: Bug Bounty programları, bir kuruluşun sistemlerindeki güvenlik açıklarını tespit etmek için tam zamanlı güvenlik uzmanları veya danışmanları işe almasından daha uygun maliyetli olabilir.
• Daha geniş bir yetenek havuzuna erişim: Bug Bounty, kurumların bağımsız güvenlik araştırmacıları ve iyi niyetli hackerlar da dahil olmak üzere geniş bir yetenek havuzundan yararlanmasına olanak tanır.
• Olumlu itibar: Bir Bug Bounty uygulaması, güvenliği geliştirmeye yönelik proaktif bir adım olarak görülebilir. Böylece bir kuruluşun/projenin itibarını artırabilir.
• Bununla birlikte, bu programların bazı potansiyel dezavantajları da var:
• Kötüye kullanım: Bazı kişilerin güvenlik açıklarını kuruma bildirmek yerine kişisel kazanç elde etmek için Bug Bounty programını kötüye kullanma riski vardır.
• Yanlış raporlar: Bireylerin ödül talep etmek için güvenlik açıkları hakkında yanlış raporlar sunma riski de var. Bu da kurumun zamanını ve kaynaklarını boşa harcayabilir.
• Sınırlı kapsam: Bug Bounty programları genellikle yalnızca belirli sistemleri veya yazılımları kapsar, bu da bazı güvenlik açıklarının tespit edilemeyebileceği anlamına gelir.
• Yasal sorunlar: Kuruluşların, Bug Bounty Programlarının veri koruma veya gizlilikle ilgili herhangi bir yasa veya yönetmeliği ihlal etmediğinden emin olmak için dikkatli olmaları gerekir.

Sonuç olarak, Bug Bounty Programları kuruluşların güvenliklerini geliştirmeleri ve varlıklarını korumaları için etkili bir yol olabilir. Bu programlar aynı zamanda bireylerin siber güvenlik becerilerini geliştirmeleri ve çabaları karşılığında ödüller kazanmaları için de fırsatlar sağlayabilir. Ancak, projelerin Bug Bounty Programlarını dikkatli ve sorumlu bir şekilde uygulamaları gerekmekte. Ayrıca bireylerin bu programlara etik ve profesyonel bir şekilde yaklaşmaları önemlidir.