Hata Ödül Programı ( Bug Bounty Program ) nedir?
Firmaların sistemlerinde bulduğunuz güvenlik açıklarını kendilerine bildirmeniz karşılığında ödül kazandığınız ( Para , Eşantiyon, Onur listesi vb gibi... ), karşılıklı güvene dayalı bir organizasyondur. Türkiye'de henüz bir örneğini görmediğimiz bu uygulama, yurt dışında büyük ve orta ölçekli firmalar tarafından uzun bir süre önce başlamıştır.
Örnek bir liste:
https://bugcrowd.com/list-of-bug-bounty-programs/
Neden Hata Ödül Programı?
Firmalarda yaygınlaştırılan uygulamaların, servislerin maruz kaldığı sofistike saldırılar karşısında, geleneksel çözümler yetersiz kalmaktadır. Bu noktada hata ödül programları, güvenlik katmanına bambaşka bir bakış açısı kazandırmış olup kurum kültürünü devrimsel bir şekilde yeniden biçimlendirilmiştir.
Geleneksel yöntemleri geride bırak!
- Otomatize araçlar tek başına yeterli değildir.
- Sadece Waterfall modeli, Agile için yetersizdir.
- Masraflıdır.
- Yetenekli kişilere ulaşmak zordur.
Kendi hata ödül programı ağınızı oluşturun...
Bu konuda bir kaç ipucu vermek istiyorum;
- Bütün zafiyetler aynı değildir ve farklı bir şekilde değerlendirilmelidir. ( örn: Remote Code execution, Auth Bypass, Sql Injection, Xss vb gibi...)
- Bilgilendirme politikası oluşturulmalıdır.
- Ödül programına dahil olan hedefler ve kapsamlar belirlenmelidir.
- Sisteminizde bulunan uygulamalar sürekli test edilmelidir.
- Hata takip araçları kullanılmalıdır. ( bugify.com, Mantis gibi uygulamalar )
- Çeşitli teknikler ve savunma araçları geliştirilmelidir.
Peki ödül programları sürecini doğru bir şekilde uyguladığımızda yeterince güvende olacak mıyız?
Ödül programlarıyla ilgili yaşanabilme ihtimali olan sorunlar;
- Uluslararası bir takım legal problemler
- Hataların giderilmesi için yoğun takım çalışması
- False Positive ( Zafiyetin olmama durumu )
- Doğru bir şekilde işlemeyen süreçler
- Hacker dedikoduları
Siz de bir hata avcısı olabilirsiniz!
Hata avcılarının ödül programları hakkındaki söylemlerini incelediğimizde aşağıdaki konu başlıklarına ulaşıyoruz.
- Pratik yapmak
- Şöhret
- Nakit para
Hata avcıları için öneriler;
- Hata avcılığı yapan kişiler, becerilerini sadece ödül programı açan şirketlerde kullanabilirler.
- Herhangi bir şirkette yasal bir şekilde güvenlik testi uygularken, raporlama ve ödemeler profesyonelce ve şeffaf bir şekilde yürütülmelidir.
- Güvenlik testleri için kurumdan izin gerekiyorsa iletişime geçilmelidir.
- Eğer gerekiyorsa; başlangıç, bitiş tarihi ve erişim süreleri kurum ile paylaşılabilir.
- Bir zafiyet sadece kurumun altyapısına sızabildiğini göstermek amacıyla istismar edilebilir.
- Test yapılırken hiç bir şekilde sisteme zarar verilmemelidir.
- Sistemde bulunan bir zafiyet internal sisteme ulaşmaya sebep olacağı için POC kodu zafiyetin ispatı açısından yeterlidir.
- Hiç bir saldırı vektörü enfekte olmuş kod parçası içermemelidir.
- Hata ve güvenlik açığı aradığınız bir sistemde herhangi bir veriyi bilgisayarınıza kopyalamayın.
- Sistemde bulunan teknik hatalar dışında mantıksal hataları da keşfetmeye çalışın.
- 3. parti web siteleri test kapsamı dışında tutulmalıdır.
- Organizasyonu düzenleyen firmanın ödeme normlarına uyulmalıdır.
- Eğer talep edilirse, zafiyetin giderilmesi için kurumla iletişime geçilmelidir.
- Uygulamalarda bulunan zafiyet(ler), organizasyonu düzenleyen firma tarafından giderilmeden herhangi bir bilgi kamusal alanda paylaşılmamalıdır.
Lütfen bu önerileri dikkatlice okuyunuz. Çünkü bu önerilerin büyük bir bölümü hata ödül programları kapsamında karşınıza çıkacaktır.
Sonuç
Hata ödül programlarının sağladığı en önemli avantajlardan biri de; yazılım geliştirici, güvenlik takımı ve hata avcıları arasında hızlı bir iletişim ağı oluşturmaktır.
EOF
Şuan ki müşterilerimize bunu anlatmak biraz zor. Neden açık oluyor ki olmasın mantığı ile yaklaşacaklar olaya, hatta çıkan tüm hataların masraflarını sizden keseceğiz diyeceklerdir :)
YanıtlaSilVizyon meselesi başka bir münazara konusu :)
SilBu konuda algıyı değiştirmek gerçekten zor... :)
YanıtlaSil