İçeriğe geç

Hata Avcılığı ve MilliHacker Projesi

Özet: Dünyadaki ve artık Türkiye’deki hata avcılığı (bug bounty) programlarından, çalışma mantığından ve Milli Hacker projesine nasıl katkıda bulunulabileceğinden bahsettim.

Bug Bounty nedir?

Bug bounty, Türkçesiyle `hata avcılığı` belki sadece siber güvenlik sektörüne özgü bir kavram olabilir. Bug bounty, şirketlerin, yazılım geliştiricilerin, hatta fabrikaların ve bankaların  sistemlerini kendisini hack’leyecek insanlara açtığı programlara verilen genel isimdir. Dünyada yıllardır uygulamada hata avcılığı programları şirketlerin kendileri tarafından yönetilebildiği gibi (facebook gibi) hata avcılığı programını diğer platformlara taşıyan kurumlar da oldukça yaygın. Dünyada bugcrowd, hackerOne gibi platformlar hackerlar ile kurumları bir araya getiriyor ve ödül programlarını yönetiyorlar. Bu yazıyı uzun zamandır yazmayı düşünüyordum, Türkiye’de Prodaft ekibinin kullanıma açtığı MilliHacker projesini görünce artık zamanının geldiğini anladım.

Sistem nasıl işliyor?

  1. Sistemlerini, örneğin web sitelerini, mobil uygulamalarını test ettirmek isteyen (kendine güvenen 😀 ) firmalar kapsamlarını, ödül tablosunu, nelerin geçerli nelerin geçersiz olduğunu belirleyerek sisteme dahil oluyorlar.
  2. Sistemin temel kaynağı iyi niyetli hacker’lar.  Siteye üye olan güvenlik araştırmacıları açılan sistemlerde kapsamlar dahilinde buldukları zaafiyetleri, açıklık veya hataları site üzerinden sistem sahibine raporluyorlar. Bu zafiyetleri raporlarken kullandıkları tüm payload’ları, zafiyetin istismar edilebilirliğini, ekran görüntülerini de rapora ekliyorlar.
  3. Sistem sahibi (veya eğer program tarafından yönetiliyorsa sitenin uzmanları) zafiyetin kapsam içinde gerçekten istismar edilebilir bir açıklık doğruluğunu onaylıyor veya güvenlik araştırmacısı ile konuyu tartışıyor. Eğer zafiyet doğrulanırsa ödül tablosuna göre belirlenen ödül veriliyor. (Türkiyede TL yurtdışında $$$)
  4. Sadece para değil, program kapsamında puan, hediye paketleri kazanmak da mümkün. Bazen bilinirlik, paradan daha değerli olabiliyor.

Özetle bu programlar sayesinde sistemlerdeki zafiyetler iyi niyetli hackerlar tarafından bulunup gideriliyor, hem sistemlerin gelişmesine katkıda bulunan hacker’lar ödüllendiriliyor, hem de zafiyetlerin kötü niyetli kişiler tarafından istismar edilmemesi sağlanıyor. Bilindiği gibi internette satılan zafiyetleri, binlerce dolara verilen 0-day açıklarını düşününce firmaların bu programlara ilgisine şaşırmamak gerek 🙂

HackerOne'daki bazı firmalar
HackerOne’daki bazı firmalar

MilliHacker Projesi

Dünyadaki hata avcılığı programları bir çok global firmanın yazılımlarının çok daha güvenli hale gelmesine yaradı. Firmalar dünya çapında on binlerce hacker’a ödüller dağıttı ve programlardan kendi paylarını da aldılar. Türkiye’den ve dünyadan bugbounty programlarına katılan bir çok hacker kendi bloglarında, sosyal medya hesaplarında bunu konuşurken siber güvenlik toplulukları günden güne büyüyen Türkiye’den benzer bir projenin gelmesini uzunca bir süre bekledik. Sonunda Prodaft ekibi Millihacker projesini 4 Mayıs 2018 tarihinde duyurdu! 

Site, açıldığı gün 100 kişiden fazla üye topladı ve 5 program açtı. Açılan programlar içinde kendi sitesi de vardı ve projenin desteklerle büyüyeceği mesajını böylece anlatmış oldu. Millihacker programı Türkiye’deki şirketlerin ve hacker’ların bir araya gelecekleri platform olarak kullanıma sunulmasının ertesi günü yüzden fazla rapor bildirildi. (vakti olan insanlar olması ne güzel) Ben de sitede bulduğum küçük bir zafiyeti raporladım:

MilliHacker projesinin web sitesine şuradan ulaşabilirsiniz: https://www.millihacker.com/

Eğer firmanızın ürünlerini, web sitenizi, uygulamalarınızı programa dahil etmek istiyorsanız millihacker ekibi ile iletişime geçebilirsiniz.

Bu ve bunun gibi projelerin Türkiye’de gerçekleşmesini sağladıkları için emeği geçen herkese teşekkür ederek yazımı sonlandırıyorum. Güvenli günler 🙂

Tarih:GüvenlikTürkiye'de Siber Güvenlik