Bug Bounty Nedir? Bug Bounty Programları

Bug Bounty Nedir?, belli bir yazılımın açıklarının bulunması (bug) amacıyla yazılımın sahibi şirket tarafından herkesin katılımına açık olarak gerçekleştirilen güvenlik yarışmalarıdır. Türkçede Ödül Avcılığı olarak da kullanılan Bug Bounty yarışmalarının amacı, şirketlerin yazılımlarının güvenlikliklerini sınaması ve bu doğrultuda ortaya çıkan açıkların giderilerek daha gelişmiş, güvenli bir yazılımın ortaya çıkarılmasıdır. Bug Bounty yarışmaları sayesinde şirketler güvenlik şirketlerinin yanı sıra tüm son kullanıcılara ve geliştiricilerle yazılımları sınama şansı elde eder. Rapor edilen bugların giderilmesiyle de Bug Bounty programı başarıyla tamamlanarak ödüller dağıtılır. 

Bug Bounty Nedir

Bug Bounty Programları

Sayısız yazılım geliştiricisi veya internet sitesi Bug Bounty yarışmaları gerçekleştirerek sistemleri üzerindeki açıkları keşfetmesi için hackerlarla çalışma şansı elde eder. Çoğu zaman beyaz şapkalı hacker olarak adlandırılan White Hat Hacker grubuna dahil bilgisayar korsanları bu programlara katılarak hem kendi yeteneklerini dener hem de yazılımın güvenlik sınırının öğrenilmesine yardımcı olur.

Bug Bounty yazılımlarının tümü mutlaka ödül üzerine gerçekleştirilir. Ödül bazen nakit olurken bazen firmanın sunduğu servislerle ya da diğer fırsatlarla ilişkili olabilir. Misal, Mozilla gerçekleştirdiği bir Bug Bounty yarışmasının kazananına 3,000 dolar para ödülü sunarken Facebook tek bir bug’ı kendilerine bildiren bir internet korsanına 20,000 dolar ödeme gerçekleştirmiştir.

Bug Bounty programlarında, programın sahibinin büyüklüğü ve yazılımın ciddiyeti de her zaman ödülün daha yüksek olması anlamına gelir. Örneğin; 2012 Yılında Google, Chrome işletim sistemi üzerinde keşfedilen açıklara karşılık 700,000 dolar bug bounty ödülü dağıtmıştır. Microsoft ise Windows 8.1’deki ölümcül bir açığı fark eden geliştiriciye 100.000 dolar Bug bounty ödülü vermiştir. 

Her şirket kendi Bug Bounty yarışmasını düzenlerken farklı kurallar belirleyip, bu kurallara uyulmasını bekleme hakkına sahiptir. Bu nedenle Bug Bounty programlarına katılmayı düşünen bilişimcilerin sistemi incelemeden önce şartları okuması ve yarışmanın detaylarına hakim olması önemlidir.

Genellikle Tercih Edilen Bug Bounty Platformları

– HackerOne

– BugCrowd

Bug Bounty Rapor Durumları Nelerdir?

Pre-Submission: Yazdığınız rapor potansiyel olarak geçersiz işaretlendiğinde, raporunuz “pre-submission” olarak gözükür ve yazdığınız rapor programı oluşturan firmaya gönderilmeden önce bugbounty platformunun çalışanı tarafından kontrolden geçer.
New: Yazdığınız rapor henüz okunmamış durumda ise “New” olarak gözükür.
Triaged: Yazdığınız rapor okunmuş ve değerlendirilmiş fakat sorun henüz çözülmemiş anlamına gelir.
Re-Testing: Yazdığınız rapordaki zafiyet giderildiği takdirde firma sizden yeniden test etmenizi isteyebilir. Bu durumda raporunuz “re-testing” olarak gözükür.
Needs More Info: Yazdığınız rapor yetersiz olduğu zaman raporunuz “need more info” olarak gözükür. Eksik olan kısımlar güvenlik uzmanları tarafından belirtilmelidir.
Resolved: Raporunuz anlaşılırdır ve sorun çözülmüştür.
Informative: Yazdığınız rapor yararlı bilgiler içerir fakat raporunuzda belirttiğiniz bilgiler bir risk oluşturmuyorsa, raporunuz “informative olarak gözükür”.
Duplicate: Bu durumda yazdığınız rapordaki zafiyet, zaten daha önce başka bir kişi tarafından bildirildi anlamına geliyor.
Not-Applicable: Yazdığınız rapordaki zafiyet varolan bir zafiyet olmadığında, hiçbir risk oluşturmadığında veya programdaki scope’un dışında bulunduğunda raporunuz “not-applicable” olarak gözükür.

Bug Bounty Süreç Nasıl İşlemektedir ?
Bug Bounty Süreci

İlk aşama olarak hedef belirlenmektedir. Ardından programın açıklama kısmındaki kurallar ve istenilen zaafiyetlere odaklanılır. Aynı zamanda belirtilen domain adreslerine.

Kabul edilen ve edilmeyen açıklar tespit edilip ona göre işlem yapılır. Ondan dolayı programlardaki bilgileri dikkatli okumak gerekmektedir. Kapsam alanı içindeki domainler üzerinden kişinin kendi araştırmasına ve uygulamasına göre özgürlerdir. Önemli olan bulduğunuz açığın kabul edilebilir olmasıdır. Son adım olarak elde tuttuğumuz ve bulduğumuz açıklar rapor halinde gönderilir. Raporlar program sahibine iletilmelidir. Bir süre sizi bekletip açığı kapatacaklardır. Ondan sonra ise raporunuzu onaylayıp açığın kategorisine göre ücret vermektedirler.

Bug Bounty Nedir? , Bug Bounty’e Nasıl Başlanır? sorularının cevabını Can Değer’in hazırladığı aşağıdaki videodan izleyebilirsiniz.

Kaynak: SiberTehdit / WMAracı / WebGelişim

5 2 Oylar
Değerlendirme
guest
1 Yorum
En çok oy alan
En Yeni En Eski
Satır İçi Geri Bildirimler
Tüm Yorumları Görüntüle
Paylaş
Tweetle
Paylaş
Pin