İçeriğe geç

Kategori: Türkiye’de Siber Güvenlik

Hata Avcılığı ve MilliHacker Projesi

Özet: Dünyadaki ve artık Türkiye’deki hata avcılığı (bug bounty) programlarından, çalışma mantığından ve Milli Hacker projesine nasıl katkıda bulunulabileceğinden bahsettim.

Bug Bounty nedir?

Bug bounty, Türkçesiyle `hata avcılığı` belki sadece siber güvenlik sektörüne özgü bir kavram olabilir. Bug bounty, şirketlerin, yazılım geliştiricilerin, hatta fabrikaların ve bankaların  sistemlerini kendisini hack’leyecek insanlara açtığı programlara verilen genel isimdir. Dünyada yıllardır uygulamada hata avcılığı programları şirketlerin kendileri tarafından yönetilebildiği gibi (facebook gibi) hata avcılığı programını diğer platformlara taşıyan kurumlar da oldukça yaygın. Dünyada bugcrowd, hackerOne gibi platformlar hackerlar ile kurumları bir araya getiriyor ve ödül programlarını yönetiyorlar. Bu yazıyı uzun zamandır yazmayı düşünüyordum, Türkiye’de Prodaft ekibinin kullanıma açtığı MilliHacker projesini görünce artık zamanının geldiğini anladım.

Sistem nasıl işliyor?

  1. Sistemlerini, örneğin web sitelerini, mobil uygulamalarını test ettirmek isteyen (kendine güvenen 😀 ) firmalar kapsamlarını, ödül tablosunu, nelerin geçerli nelerin geçersiz olduğunu belirleyerek sisteme dahil oluyorlar.
  2. Sistemin temel kaynağı iyi niyetli hacker’lar.  Siteye üye olan güvenlik araştırmacıları açılan sistemlerde kapsamlar dahilinde buldukları zaafiyetleri, açıklık veya hataları site üzerinden sistem sahibine raporluyorlar. Bu zafiyetleri raporlarken kullandıkları tüm payload’ları, zafiyetin istismar edilebilirliğini, ekran görüntülerini de rapora ekliyorlar.
  3. Sistem sahibi (veya eğer program tarafından yönetiliyorsa sitenin uzmanları) zafiyetin kapsam içinde gerçekten istismar edilebilir bir açıklık doğruluğunu onaylıyor veya güvenlik araştırmacısı ile konuyu tartışıyor. Eğer zafiyet doğrulanırsa ödül tablosuna göre belirlenen ödül veriliyor. (Türkiyede TL yurtdışında $$$)
  4. Sadece para değil, program kapsamında puan, hediye paketleri kazanmak da mümkün. Bazen bilinirlik, paradan daha değerli olabiliyor.

Türkiye’de Üniversite Siber Güvenlik Kulüp ve Topluluk Listesi

Önemli Not
Bu yazı güncel değildir. Türkiye’deki siber güvenlik kulüp ve toplulukları hakkında güncel bilgiye Siber Kulüpler Birliği web sitesinden ulaşabilirsiniz.

Bu yazıda Türkiye’deki üniversitelerde kurulan siber güvenlik kulüp ve topluluklarını listeledim ve iletişim bilgilerini paylaştım. Siber güvenlik ile ilgilenen insanların ve oluşturdukları toplulukların sayısı artarken bu toplulukların birbirleriyle iletişim halinde olmaları gerektiğini düşünüyorum. Ortak etkinliklerde farklı üniversitelerdeki birçok siber güvenlik kulüp yönetici ve üyeleriyle tanıştıktan sonra bu listeyi oluşturmaya karar verdim. Kişisel notlarım listenin en altında bulunuyor.

Bu yazıdaki topluluklar üç kategorinin birleşim kümesidir:

  • Üniversitelerin siber güvenlik kulüpleri
  • Üniversitelerin bilişim kulüplerinin altındaki siber güvenlik toplulukları
  • Üniversitelerde kurulan ama daha sonra bağımsız ilerleyen topluluklar

Sıralama, üniversitenin bulunduğu il adına göre alfabetiktir.

Siber Takvim nedir?

Türkiye’de siber güvenlik ile ilgilenen insanların artık ortak bir takvimi var. Türkiye’de düzenlenen CTF yarışmaları, eğitim, kurs ve kamplar, bunların yanında siber güvenlik konularını içeren konferans, zirve ve kongrelerin kolayca takip edilebileceğiniz Siber Takvim tam da geçen hafta yayına başladı. Takvimde ayrıca siber güvenlik meraklılarına yönelik buluşmalar ve öğrenciler için güvenlik firmalarında staj fırsatları da yer alıyor.

Nasıl çalışır?

Basitçe anlatmak gerekirse siber güvenlik ile ilgili bahsettiğim etkinlikler bir takvim üzerine yerleştiriliyor, bu takvimde etkinliğin ayrıntıları, tarihi-yeri ve varsa kayıt/başvuru bağlantısı bulunuyor. Bu etkinlikler takvime eklendikçe, aşağıda bahsedeceğim sosyal medya kanallarından takipçilere duyuruluyor.