Blog

Bug Bounty (Ödül Avcılığı)

Nedir ödül avcılığı ?

Kurum ve firmaların sistemlerinin güvenlik açıklarını tespit ettirmek amacıyla halka açık şekilde bazı platformlardan duyurusunu yaptığı kazan-kazan programıdır. Kazan-kazan diyorum çünkü zafiyeti bulan kişi yada kişilere firma yada kurumun belirlediği şekilde ödüllendirme yapılırken diğer yandan firma yada kurum dışarıdan bakan bir gözün bulduğu –belki- çok kritik bir zafiyetin tespiti ve kapatılması sayesinde binlerce hatta milyonlarca dolarlık zarardan kurtulmuş oluyor. Ödül avcılığı (bug bounty) programları siber güvenlik araştırmacıları ve bu işe meraklı kişiler için oldukça faydalı programlar olup hiç ummadığınız iş imkanları yada sosyal medya takipçileri edinebilirsiniz. Adınızı dünya çapındaki platformlarda duyurma imkanı yakalayabilirsiniz. Bunlar neden mi önemli? Profesyonel iş yaşamında size diploma, sertifika,üniversite gibi parametrelerden bağımsız sadece sizin bilgi, beceri ve yeteneklerinize göre değerlendirilmenizi sağlayabilir. Çok büyük bir kurum yada firmada bulduğunuz bir zafiyet size maddi olarak, iş teklifi olarak yada bu kuruluşların teşekkür/onur listelerine adınızı yazdırarak iş arama sürecinde özgecmişinize (CV) ekleyeceğiniz ve prestijini arttıracak faydalar sağlar.

Ayrıca hedefsiz gemiye rüzgarın yardım etmeyeceği gibi saldırı yöntemlerini bilmeyen nerden başlayacağı konusunda kafa karışıklığı yaşayan kişilerin içindeki enerjiyi kötüye kullanmak yerine ucunda maddi ödül, prestij sağlayan onur/teşekkür listelerine girmek yada küçük hatıra niteliğinde ödüller kazanmak için harcamak daha faydalı olacaktır.

Ödül avcılığı ülkemizde henüz çok bilinen bir teşvik değil maalesef. Bu bilincin oluşması birazda ülkenin siber güvenlik stratejilerine, kurum ve kuruluşların siber güvenlik farkındalığıyla doğru orantılı olarak karşımıza çıkıyor. GAİS gibi oluşumların yaygınlaşması ve desteklenmesi ülkemiz için oldukça önemli. Neden mi? Ödül avcılığı programına dahil olan firma ve kurumların neredeyse tamamı yabancı sermaye olarak karşımıza çıkıyor. Günün sonunda bulduğumuz zafiyet yabancı şirket yada kurumların işine yarıyor. Ülkemizde de ivedilikle bu konuya eğilinmeli ve bu topraklarda elinden tutulmasını bekleyen yetenekleri diploma,mezuniyet,KPSS,OSS,YGS,OKS,HGS,KGS,OGS gibi geçiş üstünlüğü aramaksızın keşfetmemiz gerekiyor. Bu yetenekli insanları yabancı sermayeye kaptırmadan doğru konumlarda iş imkanı sunarsak Ulusal Siber Güvenlik Stratejilerimizi sağlam temeller üzerine atmış oluruz.

BTK’nın yapmış olduğu iş ilanı çok umut verici görünüyor, umarım devamı gelir ve bu bir başlangıç olur. Doğru şekilde yürütülen bir süreç olursa güzel sonuçlara alabileceğimizi düşünüyorum.  

Ödül avcılığı ile ilgili daha fazla bilgi almak isteyen arkadaşların aşağıdaki web sitelerini ziyaret etmelerini tavsiye ederim. Bu teşvikler yabancı sermaye olduğu için web sitelerinin dili İngilizce. Fakat bu sizi korkutmasın zafiyeti bulmanız için yabancı dil bilmenize gerek yok. Out of scope (kapsam dışı) tutulan kısımlara bakıp zamana harcamamanızı tavsiye ederim. Zafiyeti bulduktan sonrasında temel İngilizce bilgisiyle durumu raporluyorsunuz. Zaten bu platformlarda form doldurma metodu kullanıldığı için paragralar dolusu açıklama yapmanıza gerek kalmıyor. Ne diyelim ilgili, meraklı arkadaşlar için kolay gelsin :)

https://bugcrowd.com/list-of-bug-bounty-programs  
https://www.vulnerability-lab.com/list-of-bug-bounty-programs.php  
https://hackerone.com/bug-bounty-programs  
https://firebounty.com/     




Yazar Hakkında

 

İş hayatı boyunca telekom,ilaç,tekstil gibi çeşitli sektörlerde IT ve Bilgi Güvenliği konularında çalışmalar yapmıştır.TRT World kanalında Informatin Security Takım Lideri olarak görevine devam etmektedir.Yaptığı çalışmalar SIEM, DLP, Log Management, Penetration Testing,Mobile Application Pentest konularına yoğunlaşmıştır.







Yorum Yapmak İçin Giriş Yapın.