Hata Ödülleri ve Güvenlik Açığı İfşa Programları Nasıl Çalışır?
Casino oyunlarıyla ilgileniyorsanız, onlardan para kazanmanın bir yolu daha olduğunu öğrenmekten hoşnut kalabilirsiniz: Bu oyunların sahip oldukları hataları bulmaya da çalışabilirsiniz. Örneğin, slot makina oyunları oynarken bir hata bulursanız, bunu geliştiriciye bildirebilir ve bir ödül kazanabilirsiniz. Elbette, bu sadece çevrimiçi slot makineleriyle sınırlı bir şey değildir: Hemen her dijital yazılım ve hizmet için aynısını yapabilirsiniz. Bu şekilde geçimini sağlayan insanlar var ve onlar sayesinde son kullanıcılar olarak sorunsuz ve güvenli bir deneyim elde edebiliyoruz. Bu kişilerin yaptığı işe “hata ödülü” (bug bounty) veya “güvenlik açığının ifşası” denir ve yaygın inanışın aksine bunlar aynı şeyler değildir. Peki, bu ödül programları nasıl çalışır ve neler içerir? Aşağıda tüm bu soruların cevaplarını bulabilirsiniz.
Hata Ödülleri ve Güvenlik Açığı İfşa Programları Nedir?
Temel bilgilerle başlayalım. Diyelim ki büyük bir yatırım yaparak dijital bir hizmet sunmaya başladınız. Şirketinizin bünyesinde yürüttüğünüz testlerde bu hizmetteki bazı sorunları ve güvenlik açıklarını tespit edebilirsiniz ancak bazı sorunlar sadece hizmet geniş bir kitle tarafından kullanıldıktan sonra ortaya çıkabilir. Yani geliştirici olarak üzerinize düşeni yapsanız bile, hizmetinizi büyük kullanıcı kitlelerine sunmadan önce fark edemediğiniz sorunlar mutlaka olacaktır.
Bu durumda kullanıcılarınızdan yardım istemelisiniz: Karşılaştıkları herhangi bir sorunu size bildirirlerse o problemi düzeltebilirsiniz. Peki, kullanıcıları bunu yapmaya nasıl teşvik edersiniz? Hazırlayacakları raporları için bir ödül sunmak, bunun en iyi yollarından biridir. Hata Ödülleri ve Güvenlik Açığı İfşa programlarının arkasındaki temel mantık da budur: Her ikisi de kullanıcıları bir hizmet veya ürünle ilgili sorunları bulmaya ve geliştiriciye bildirmeye teşvik eder.
Hata Ödülleri ve Güvenlik Açığı İfşası Arasındaki Fark
Ancak, bu programların her ikisinin amacı aynı olsa da, işleyiş biçimleri birbirinden farklıdır. Hata ödülleri genellikle tüm kullanıcılara açıktır. Bunu sunan şirket, hataların bildirilmesi için bir ödül verir ve bu ödülün miktarı, sorunun ne kadar ciddi olduğuna bağlıdır. Örneğin, Apple'ın Bug Bounty programı herkese açıktır ve ödüller 5.000 ABD Doları ile 1.000.000 ABD Doları arasında değişebilir. Birkaç örnek verecek olursak:
- Yetkisiz iCloud hesaplarına erişmeyi mümkün kılan hatalar bildirilirse Apple 100.000 $ öder.
- Kilitli bir iOS cihazından veri alınmasını sağlayan bir hata bulursanız, ödül miktarı 250.000 USD olacaktır.
- Çekirdeğe tam erişim elde ederek herhangi bir uygulamanın yürütülmesine izin veren bir hata tespit ederseniz, 1 milyon dolar kazanabilirsiniz.
Hata ödülleri, güvenlik açığı programlarından daha yaygındır ve neredeyse her büyük şirkette bulunur. Aşağıda, en bilinen hata ödülleri programlarından bazılarını ödül miktarlarıyla birlikte görebilirsiniz:
PROGRAMI SUNAN ŞİRKET | EN AZ ÖDEME | EN FAZLA ÖDEME |
500 ABD Doları | Maksimum limit yok | |
GitHub | 617 ABD Doları | 30.000 ABD Doları |
100 ABD Doları | 31.337 ABD Doları | |
Intel | 500 ABD Doları | 100.000 ABD Doları |
Microsoft | Minimum limit yok | 250.000 ABD Doları |
Mozilla | 100 ABD Doları | 10.000 ABD Doları |
Bir hata ödülü programından ödeme almak için "hacker" veya teknik uzman olmanıza gerek yoktur. Son kullanıcılar bile basit hataları bildirdikleri için ödül kazanabilirler. Bu ve herkese açık olması onu güvenlik açığı ifşası programlarından ayıran en önemli özelliğidir.
Bu bağlamda, güvenlik açığı ifşa programlarının çok daha "ciddi" olduğunu söylemek mümkündür. Basit bir örnek verelim ve yeni çıkan bir router kullandığınızı düşünelim.
- Sıradan bir son kullanıcı bu cihaz ilgili bir sorunu bildirebilir ve hata ödül programından bir ödeme alabilir.
- Bir bilgisayar korsanı ise bu cihaza sızabilir ve ev ağına bağlı tüm cihazların kontrolünü ele geçirebilir. Bu ciddi güvenlik açığını ifşa programı üzerinden bildirirse hem ödül kazanır hem de o cihazı daha güvenli hale getirmeye yardımcı olur.
Güvenlik açığı ifşa programları genellikle halka açık değildir ve çoğunlukla anonim bir raporlama seçeneği sunar. Bunun nedeni, ilgili güvenlik açığını tespit etmek için yapılan eylemlerin genellikle “yasadışı” olmasıdır. Yukarıdaki örneğe geri dönelim: İyi niyetle dahi olsa o cihaza sızan kişi fiilen bir suç işlemiş sayılır ve cezalandırma korkusuyla bu güvenlik açığını bildirmemeyi seçebilir. Oysa bu kişiye anonim bir raporlama seçeneği verirseniz, kimliğinin ortaya çıkmasından endişe etmeden güvenlik açığını bildirebilir.
Bu açıklamadan da anlaşılacağı gibi güvenlik açığı ifşa programları genellikle “beyaz şapkalı hackerlar” olarak bilinen kişileri içeren programlardır. Şirketler ayrıca zaman zaman herkese açık ifşa programları da düzenler, ancak bunların kuralları bir hatayı bildirmekten daha fazlasını içerir. Örneğin, belirli bir süre içerisinde belirli bir sistemi hacklemeniz ve kullandığınız güvenlik açığını ayrıntılı olarak açıklamanız istenir. İfşa programları, tespit edilmesi uzmanlık gerektiren daha ciddi hatalar ve güvenlik açıkları için kullanılan bir sistemdir. Hata ödülleri ile güvenlik açığı ifşa programları arasındaki farkı şu şekilde özetleyebiliriz:
- Hata Ödülleri ile son kullanıcılar bile hangi hataların düzeltildiğini ve hatta hatanın tam olarak ne olduğunu öğrenebilir.
- İfşa programları ile düzeltilen hataları ise genellikle kimse bilmez: İlgili şirket sadece bir güvenlik güncellemesi yayınlar, hatayı kapatır ve ayrıntı vermez.
Her iki sistem de da daha güvenli programlar ve ürünler kullanmamızı sağlar. Hem hata ödülleri hem de ifşa programları "kazan-kazan" durumuna bir örnektir: Şirket, sunduğu ürün veya hizmeti daha güvenli hale getirir ve sorunları bildirenler bir ödül alır. Bu sistemler Türkiye’de de kullanılmaktadır. Örneğin Ozan Vakar, Murat Lostar ve Arif Gürdenli tarafından kurulan “BugBounter” girişimi, belirli bir ücret karşılığında şirketlerin güvenlik açıklarını kontrol eder.
