Bug bounty nedir?
Bug Bounty, “hata-ödül” anlamına gelmektedir. Hata- ödül programları, şirketlerin zaman içinde sürekli olarak sistemlerinin güvenlik duruşunu iyileştirmek için hacker topluluğundan yararlanmalarına olanak tanır. Hacker toplulukları bu programlara katılarak programlardaki açıkları yakalar ve bunları bildirir. Bazı topluluklar veya bireyler bunu tam zamanlı bir iş haline getirirler. Programlar genelde ödül içerikli olmaktadır. Bu şekilde çeşitli becerileri ve uzmanlıkları olan hackerların dikkatini çekerek işletmelerin Pentest (Sızma testi) yapmalarını sağlıyorlar. Bu sızma testleri daha az deneyimli güvenlik ekiplerini kullanmaktan daha avantajlı olabiliyor. Ödül programları, düzenli sızma testleri yapılması ve bu testlerin sonucunda çıkan açıklar için sistemin güncelleştirilip iyileştirilmesini sağlar ve bunu bir döngüye çevirir. Bug Bounty Programı Nasıl Çalışır? Ödül programlarına başlayan işletmeler öncelikle programlarının kapsamını ve bütçesini belirlemelidir. Kapsam, bir Hackerın hangi sistemleri test edebileceğini tanımlar ve bir testin nasıl yapıldığını ana hatlarıyla belirtir. Bu ana hatlar sızma testlerinin yapılacağı alanlardır. İşletme oluşturduğu programda hackerlara sızma testlerini yapacakları sınırları belirtmeli ve hangi yöntemlerin yasak olduğunu hangi açıkların ne kadar ödül kazandıracağını ve belli başlı kuralları belirtmesi gerek. Bu, genel organizasyonel verimlilikten, üretkenlikten ve nihayetinde sonuçtan taviz vermeden güvenlik testlerini uygulamalarına olanak tanır. Rekabetçi ödemelere sahip hata ödülleri, Hacker topluluğu şirketlerinin güvenlik açığının ifşası ve güvenlik konusunda ciddi olduğunu söylüyor. Programlar, ödül düzeylerini güvenlik açıklarının ciddiyetine dayandırır ve potansiyel etki arttıkça ödüller de artar.
Hacker bir hata keşfettiğinde, hatanın tam olarak ne olduğunu, uygulamayı nasıl etkilediğini ve hangi önem düzeyinde olduğunu ayrıntılarıyla anlatan bir açıklama raporu doldurur. Bilgisayar korsanı, geliştiricilerin hatayı çoğaltmasına ve doğrulamasına yardımcı olacak önemli adımlar ve ayrıntılar içerir. Geliştiriciler hatayı gözden geçirip onayladıktan sonra, şirket korsana ödül ödüyor. Ödemeler, ciddiyete göre değişir ve şirkete ve hatanın potansiyel etkisine bağlı olarak birkaç bin dolardan milyonlarca dolara kadar değişir. Geliştiriciler, gelen hata raporlarını önem derecesine göre önceliklendirecek ve hatayı çözmek için çalışacak. Hatayı düzelttikten sonra geliştiriciler, sorunun çözümünü onaylamak için yeniden test eder. Ödüller sadece para değildir. Bazı programlar kredi, veya çeşitli sweg(teknolojik alet, kırtasiye veya tekstil ürünleri) verilmektedir. Bu ödül programlarına katılmak isterseniz Hackerone ile başlayabilirsiniz. Tabi öncesinde bu açıkların nasıl arandığını bilmeniz gerek. İlerleyen günlerde size bu açıkların nasıl aranması gerektiği ile ilgili bir yazı yazacağım. Bol ödüllü günler dilerim:)
