Bugün sizlere – ismini açıklayamayacağım – büyük bir firmadan aldığım ödülden bahsetmek istiyorum. Ödül avcılığı (bug bounter) denilen kavramdan bahsedeceğim. Bu konuda kendimizi nasıl geliştirebiliriz, neler yapabiliriz, başkaları neler yapıyor veya yapmış hepsine özetle bahsedeceğim.

Ödül Avcılığı : Belirli bir sistemin güvenlik açıklarını bularak bunu art niyetli kullanmak yerine, güvenli bir ortam sağlanmasını amaç edinmiş, karşılığında ise ödül tabanlı güvenlik açığı araştırma programıdır.

Literatürde benim ifadelerim ile ödül avcılığını açıkladım. Peki bu bir meslek mi değil mi, zevk için mi yapılır, zevk için yapılsa para beklentisi olur mu ? Evet, ödül avcılığı bir meslektir. Özellikle bilişim dünyasında teknolojik açıdan gelişen ülkelerde daha yaygın olmakla beraber bizim ülkemiz de daha çok bireysel yetenekler ile ön plana çıkıyor. Yani 3-5 uzman toplanıp böyle bir şirket açalım, bunun peşine düşelim dediğini görmedim. Penetrasyon şirketleri ile karıştırılmaması gereken bir konudur.

Konumuza dönecek olursak ben de global olarak büyük çaplı bir firmanın Türkiye ayağında bir güvenlik zaafiyeti tespit ettim ve bildirdim. Karşılığında kendimi anlatmam ve sistemsel açıktan art niyetli olarak faydalanmadığımdan defaatle bahsettim. Yani ülkemizde bazen gerçekten bu konular yasal olarak sıkıntı oluşturabiliyor. Firma yetkilileri ile uzun süre mailleşme ve telefonlaşmanın ardından güvenlik zaafiyetlerini kapattıklarını ve karşılığında ödül olarak x.xxx tutarında bir meblağ vermek istediklerini söylediler.

Güvenlik zaafiyeti hemen anlaşabilecek bir şey değildi. İnput değerlerinde JavaScript kodlarına izin verilmesiyle ortaya çıkan bir sorundu. Yani siz kullanıcıdan alacağınız değerleri kısıtlamazsanız, kafeslemezseniz kullanıcı size öyle bir veri gönderir ki o sizden veri almaya başlar 🙂

Ben de bu noktada aslında biraz tesadüfi buldum diyebilirim. Yanlışlıkla wordpress dosyalarımdan kopyaladığım kodu input etmişim ve çıktı olarak da bana malesef bu kodların çalıştığını belirten bir ekran görüntüsünün ardından gelişti her şey..

 ÖDÜL AVCILIĞINA MİLYONLARCA DOLAR !

Sansasyonel bir başlık oldu gibi hissediyorum.. Facebook, Google, Microsoft gibi büyük şirketlerin şimdiye kadar sistemlerinde güvenlik açığı bulan ödül avcılarına milyonlarca dolar değerinde ödül ödediğini biliyor muydunuz ? Bilmiyorsanız şuraya bakın :

https://www.google.com/about/appsecurity/reward-program/

https://www.facebook.com/whitehat

https://www.facebook.com/whitehat/thanks

Bu konuda sizler de her zaman birşey yapabilirsiniz. Üst düzey bilgim yok, hiçbir zaman öğrenemem iması ile olaylara yaklaşmayın.