Ülkemizde Böcek Avcılığı – Bug Bounty, Hall of Fame

Bounty olayı ne kadar mantıklı? Teknik bilgiler ve kriterler ne kadar açık? Türkiye‘de Bug Bounty…

Nedir bu Böcek (Ödül) Avcılığı?

Bildiğiniz gibi Bug Bounty kavramı basit bir tabirle Siber Güvenlik Araştırmacıları ile Son
Kullanıcıları Sistem Yöneticisinin süzgeçinden geçirerek buluşturan ödül programlarıdır. Son
kullanıcı, ilgili firmalar veya kurumlar aracılığı ile hizmet kapsamında bulunan program,
uygulama veya web tabanlı projelerinin IT güvenliğini sağlamak ve/veya geliştirmek maksadıyla
çeşitli ödül programları açmak isteyebilir. Burada ki sistem yöneticisinin rolü aracı firma olarak
lanse edilmekte ve Siber Güvenlik alanında bir bütün halinde çalışmayı hedeflemektedir ve
farkındalık yaratmak açısından oldukça önemlidir.

Son kullanıcı dedik ama tabiî ki büyük oluşumların Bounty veya Acknowledgement
programlarında rolü çok önemlidir. Örneğin ülkemiz dışında bir çok Bug Bounty hizmeti veren
kurumun listesinde yer alan Microsoft, Google, Facebook v.b gibi firmalar sisteminde tespit
edilen zafiyetlerin PoC* kanıtına ve kritiklik durumuna göre çeşitli bir çok ödül vermektedir.

Proof Of Concept denilen raporlama ile açığın bulunduğu alan üzerinden detayların aktarılması
ispatın kavramında delil olarak kullanılır.

#############################################################

# Application Name : Google Vulnerability

# Vulnerable Type : Cross Site Scripting & Open Redirect & SQL İnjection

# Author : Bahtiyar Paltacı

# Target : https://www.en.advertisercommunity.com/attack.url

#############################################################

Kısa PoC örneği

Ayrıca her kurum her kanıtı kabul etmeyebilir. Bazı kurumlar belirli şartlarda zafiyet
(Vulnerability) kabul eder. Genellikle OWASP Top10 Listeleri, Exploit-db vb sistemlerde yer
edinmiş açık türleri kabul görülür.

Kurumlar kendi programını açabilir, neden aracı firmaya ihtiyaç duysun?

Önce neden Bug Bounty programları açılması gerektiğine kısaca ve olabildiğince açık bir
biçimde değinelim.

Her kurumun bilgi güvenliği alanında yeterli sayıda personel bulundurması günümüzde önemli
bir etken olsa da bazı kurumlar bu konuda yetersiz kalmakta. Ayrıca bilgi güvenliği alanında
personel bulunduran büyük şirketler dahi kendi personellerinin gözünden kaçabilecek her türlü
püf noktasına karşı önlem almak zorundadır.
Durum böyleyken bilgi güvenliği personeli olmayan kurumların dışarıdan müdahalelere karşı
web sistemlerini koruması için; bilgi güvenliği personeli olan büyük şirketlerin ise olası bir
hacker senaryosu ile personellerin önlemleri dışında gelebilecek tehditleri engellemek için Bug
Bounty programlarını kullanması oldukça mantıklı bir mentalite olacaktır.

İyi ama Siber Güvenlik önlemini almak isteyen şahıs/firma bunu kendi sisteminden duyurmak
yerine neden bir başka sistem aracılığı ile faaliyet gösteriyor?

Şöyle ki; uluslar arası alanda Siber Güvenlik sektöründe bug bounty / hall of fame programları
ile faaliyet gösterip belirli bir database’ye erişmiş, elinde ki son kullanıcı veya büyük firma
bilgilerini sistem yöneticisi aracılığı ile Siber Güvenlik uzmanına ileten bir yapıdan dolayı…

Kendi sisteminizi her zaman belirli ölçüde duyurabilirsiniz. Fakat Hackerone, Bugcrowd gibi
isim yapmış yapıların içerisinde yer alıp sadece Siber Güvenlik sektörüne yönelik bir oluşumda
faaliyet göstererek önlemlerinizi almak isterseniz; dünyaya açılırsınız.

Görsel – 1 BugCrowd Programlarından bazıları

Bu tür sistemlerin içerisinde zafiyet türü, verilecek ödül çeşidi, aylık teşekkür listeleri ve hangi
tür zafiyetlerin bulunacağı detaylı olarak girilir ve Siber Güvenlik araştırmacılarına sistem
üzerinden public edilir. Gerekli bilgiler tamamen veri sahibinin sınırlarınca belirlenir. Her hangi
bir kod, parola veya gizli bilgi içeren bilgiler kesinlikle istenmez. Siber Güvenlik uzmanları kapalı
pentest tabiri ile sistemde yer alan uygulamaları hacker gözüyle inceler ve kritik açık bulduğu
takdirde sistem yöneticisine ileterek durumu veri sahibine aktarmış olur. Gerektiği takdirde veri
sahibi bulunan kritik bir açığın fixlenmesini isteyebilir, bu durumda da sistem yöneticisi veya
Siber Güvenlik uzmanı ile kontak kurabilir.
Peki ya ücret? Teşekkür etmenin faydası ne?

Bug bounty programlarında aracı sistem; üzerinden gönderilecek rapor ve detaylı Proof of
Concept sonucu ilgili firmadan belirli komisyon alabilir, buna ek olarak açığın fixlenmesi
sürecinde de rol alabilir.

Siber Güvenlik araştırmacıları; gönderilecek zafiyetlerin kritiklik derecesine göre hem aracı
firmadan hem de zafiyeti bulduğu ilgili firma veya kurumdan yüklü miktarlarda ödül de
alabilmektedir.

Program açtıran firma; hem kritik zafiyete karşı vereceği ödülü öncesinde belirlemek zorunda
hem de sisteminde Siber Güvenlik araştırmacısının ‘eğer isterse’ bilgilerinin Hall Of Fame
köşesinde yayınlanıp yayınlanmayacağını bildirmek zorundadır. Böylece yayınlanan hall of fame
listesinden Siber Güvenlik araştırmacısı referans edinmiş olur ve bir çok Siber Güvenlik
firmasında iş başvurularında etkili bir CV’e sahip olabilir.

Ayrıca program açtıran firma zafiyet sonucunda sistemin fixlenmesini (açığın giderilmesini) bir
önceki paragraflarda da belirttiğimiz gibi ya aracı firma ile ya da Siber Güvenlik uzmanı ile
çözebilir.

Görsel 2 - Adobe Hall of Fame bazıları (Referans edinilebilir)

Türkiye‘de Bug Bounty

Ülkemizde Bug Bounty alanında ki çalışmalara değinmeden önce; Siber Güvenlik alanında ne
kadar etkiliyiz bunu kapsamlıca düşünmek gerekir. Kamu kurum ve kuruluşlarımız ve özel
sektörün iş birliği neticesinde yapılan çalışmalar son zamanlarda etkisini göstermekte fakat
sadece sektöre hitap edebilmekteyiz.

Geniş bir perspektif den Siber Güvenliği ele aldığımızda vatandaşlarımızın %90’ı maalesef
konuya net hakim olamamakta. Sosyal Medya’nın yaygınlaşması ve her türlü API’nın gerek
sosyal mecralarımızı gerek akıllı telefonlarımızı karınca misali heba etmesi, oluşan riskler
bakımından ne kadar ileri gidilebileceği gerçekten düşünülmesi gereken bir konudur.

Fazla uzatmadan sektör bakış açısıyla yaklaşırsak; ülkemizde Siber Güvenlik Farkındalığını
artırmak isteyen ve bu alanda çalışmalar yapan bir çok kurum , üniversite topluluğu ve dernek
bulunmakta. Geçtiğimiz yıllarda Bug Bounty alanında Workspace tarzında çalışmalar olduğunu
görmüştük fakat bu çalışmaların sadece yarışma odaklı veya geçici olması nedeniyle kalıcı bir
Bug Bounty Platformu Türkiye’de tam anlamıyla oluşmuş değil.

Fakat son zamanlarda Siber Güvenlik alanında konferans veya etkinliklerde eğitim alanları, CTF
ödülleri gibi aktivitelerin yanında Bug Bounty tarzı yaklaşımlar da sergileniyor. Yine bu alanda
kalıcı bir faliyette bulunmak isteyen oluşumlar da söz konusu.

Bütün bunların yanında uluslar arası alanda ödül avcılığı programları aracılığı ile ismini bir çok
firmaya yazdıran Siber Güvenlik uzmanlarımız da mevcut.

Ne yapılmalı ?

Bug bounty alanında kalıcı bir platfrom olacaksa özel sektörün ve devlet kurumlarının bu tür
oluşumlara destek vermesi farkındalığın artması açısından çok önemlidir.

İllegal hack grupları veya hacktivist oluşumların kamu kurumlarımıza, üniversitelere, bankalara,
özel sektöre, medya kuruluşlarına gerçekleştirebileceği saldırılar veyahut sosyal mühendislik
yöntemleriyle ele geçirilebilecek her türlü veriler büyük bir senaryo ile ele alınacağı için bu tür
sistemlerin Siber Güvenlik alanında Bug Bounty programları açması hayati önem arz etmektedir.

İllegal oluşumlara karşı Siber Güvenlik önlemlerinde en etkili yöntem Siber Güvenlik sektöründe
hedeflenen sistemlerin hacker gözüyle ele alınarak incelenmesi ve bunun sonucunda elde edilen
zafiyetin ortadan kaldırılmasıdır. Buna en uygun proje ise Bug Bounty programlarıdır…

Bug Bounty alanına yönelik hangi çalışmalar var?

Yukarıda ki paragrafta da belirttiğim gibi Bug Bounty alanında yapılan çalışmalarda projeler
veya etkinlikler bazında güzel çalışmalar oluyor. Fakat Hackerone, Bugcrowd gibi sadece bu
alana yönelik kalıcı bir yapıya sahip oluşumlar epey az.

2016 yılında ‘Bugworry’ bu amaçla kurulmuş olup alt yapı bakımları nedeniyle şuanda kapalı
durumda ve tekrar açılması bekleniyor. Yine son zamanlarda adını DKHOS CTF ile duyduğumuz
Invictus/Prodaft firmasının ‘Milli Hacker’ adı altında Bug Bounty platformuna yönelik
çalışmaları olduğu görülüyor.

Bu tür kalıcı yapıların artarak çoğalması ve önce sektörde daha sonra da genel olarak
farkındalığı artırabilmesi dileğiyle…