Böcek Avcıları

2020 yılı bir şekilde herkesi etkiledi. Bazılarımız evden çalışma avantajına sahipken, emekçi gibi günde 2 öğün yemek bulamayanlar da var. Otomobil endüstrileri gibi büyük ölçekli endüstriler de kötü etkilendi. Öte yandan, BT şirketleri ve ÇUŞ'lar sadece ayakta kalmayı başarmakla kalmamış, satışlarında ve kârlarında önemli artışlar kaydetmiştir. Popüler hale gelen şirketlerden biri de Zoom. Zoom tarafından sağlanan verilere göre, 2018 mali yılı için gelir 121.5 milyon dolardı ve 2020 yılında 622,7 milyon dolara yükseldi (Mayıs ayına kadar). Sadece şirketler değil, bireyler de bu yıl büyük kazançlar elde etti.

Geçenlerde, bu kilitlenmenin ortasında yüzbinlerce ödül ve fiyat kazanan çevrimiçi bilgisayar korsanları ve avcılar hakkında konuştukları bir makale okudum. Bhavuk Jain - Delhi'den bir adam, sistemlerinde kritik bir hata bulduğu için Apple'dan 10.000 dolar kazanmayı başardı. Facebook'un sosyal ağ platformundaki bir hatayı tespit etmek için Ahmedabad'dan bir adam ödül olarak 31.500 dolar toplamayı başardı. Öyleyse bir soru ortaya çıkabilir: Bu avcılar kim ve hackleyerek nasıl kazanıyorlar? Cevapları bulmak için okumaya devam edin.

Kim bu hackerlar?

Bu bilgisayar korsanlarına, bir sistemdeki hataları bulan ve kuruluşlara bir güvenlik zafiyeti bildiren avcılar denir. Karşılığında, kuruluş onlara parasal ödüller öder. Böcek avcısı olmanın kendine has faydaları vardır. Buluşlarını bir şirkete veya kuruluşa açıklayan ve iyi bir miktar veya ödülle ödeme alan kişilerdir. Bir hata ödülü kazanmak için iyi gözlem becerileri, iyi teknik bilgi ve iyi dokümantasyon becerileri gerekir.

Daha önce, bilgisayar korsanları bir hata bulur ve şirketten kazançlı bir iş teklifi alabileceklerini umarak bildirirdi. O zamanlar, şirketin Onur Listesi'ne girmek, o zamanki bilgisayar korsanlarının çoğu için yeterince iyi bir teklifti. Bugün, tüm bu böcek avcılarının aradığı, parasal ödüller şeklinde bir geri ödemedir, böylece bir sonraki bilgisayar korsanlığı projelerine geçebilirler. “Bug Bounty Programı” terimini hiç duydunuz mu? Bu programlar kapsamında, kuruluşlar ve yazılım şirketleri, sistemlerinde bir hata veya güvenlik açığı bulan ve onlara bildiren bir kişiye fırsatlar ve ödüller sunar. Microsoft, Google, Facebook, Reddit vb. gibi şirketler ve kuruluşlar, istenmeyen olayları önlemek için sistemlerindeki hataları keşfetmek ve çözmek için hata ödül programları uygulamışlardır.

Hata Avcıları için trend platformlar

Şimdi, bireylere ekstra para kazanma fırsatları sunan çeşitli eğilimli bug bounty platformlarından bahsedelim. Bu platformlar, Upwork, Fiverr veya Freelancer gibi geleneksel serbest çalışma platformlarıyla aynı değildir. Freelance platformlarda projelere teklif vermeniz ve müşteriyi ikna edebilecek bir teklif vermeniz gerekiyor. Müşteriyi çeken ve muhtemelen onları size projeyi vermeye ikna edebilecek en önemli şeylerden biri profiliniz ve puanlarınızdır. Bu kadar işlemden sonra bile size projenin verileceği garanti edilmez.

Öte yandan, hata ödül platformları basittir. Şirketler ve kuruluşlar projelerini yükler ve ilgilenilmesi gereken modül veya projeyi adlandırır. Avcılar, araştırmacılar ve bilgisayar korsanları çevrimiçi olabilir, projeyi kontrol edebilir ve güvenlik açıklarını bildirebilir. Ayrıca, birden fazla araştırmacı bir proje üzerinde çalışabilir ve bunun tersi de geçerlidir. Gönderdiğiniz raporunuz geçerli ve güvenilirse, hataların ciddiyetine göre ödüllendirileceksiniz. Bu bug bounty platformlarının herkese açık olduğu ve hak eden her adayın bu platformlardan kazanabileceği söylenebilir. Upwork'ün kendisi, Bugcrowd platformundaki araştırmacıları serbest çalışan platformlarını test etmeye ve platformun güvenli ve güvenlik açıklarından arınmış olmasını sağlamaya davet ediyor.

Aşağıdakiler, iyi bilinen hata ödül platformlarından bazılarıdır:

böcek topluluğu

San Francisco merkezli bir güvenlik platformudur. İş modeli tamamen kitle kaynaklı güvenlik ve siber güvenlik araştırmacılarına dayanmaktadır. Bu platform basit ve anlaşılır bir şekilde çalışır.

• Yazılım şirketi veya kuruluşu, projesini veya modülünü Bugcrowd platformuna yükler ve daha güvenli olması gereken olası saldırı yüzeylerinden bahseder. Programı özel veya kalabalık topluluğa açık tutmaları organizasyona bağlıdır.
• Program yayınlandığında, kalabalık topluluk güvenlik açıklarını ortaya çıkarabilir ve bunları bildirebilir.
• Raporun geçerliliğine ve ciddiyetine göre ödüllendirileceksiniz.

Programın ciddiyetini belirlemek için farklı seviyeleri vardır: P1'den P4'e; P1 en kritik olanıdır.

Bugcrowd, bir araştırmacının belirli bir proje üzerinde çalışmak ve bunu platformda raporlamak için diğer araştırmacılarla işbirliği yapmasına olanak tanır. Hata keşiflerinizi takip etmek eğlencelidir. Yani, Bugcrowd bunu sizin için yapıyor. Tüm zamanların puanları ve diğer araştırmacılar arasındaki sıralamanız profilinizde tutulur. Rekabetçi bir yapıya sahipseniz, kesinlikle bundan zevk alacaksınız.

HackerBir

HackerOne – San Francisco merkezli bir şirket, ofisi Londra, Singapur ve Hollanda gibi birçok şehirde yayılmış durumda. Hacker topluluğu sınıfının en iyisidir. Topluluklarında kayıtlı 6'dan fazla lakh hacker'ı var. HackerOne'daki şirketler veya kuruluşlar, çeşitli ve yetenekli bir bilgisayar korsanları topluluğuna erişim sağlar. ABD Savunma Bakanlığı, Google, Intel, Lufthansa ve dünyadaki diğer birçok küresel şirket HackerOne ile ortaklık kurdu.

HackerOne'daki bilgisayar korsanları, lider panosunda statü ve itibar kazanabilir ve sürdürebilir. Topluluğun en iyi bilgisayar korsanları arasında yer almak için lider panosunu kırmayı başarırsanız, gizli hedeflere erişme ve özel programlara davet edilme fırsatları elde edebilirsiniz. Bu, temsilcinizi artırabilir ve size iyi miktarda para kazandırabilir.

HackerOne ayrıca dünya çapında canlı hack etkinlikleri düzenlemesiyle de tanınır. Canlı etkinliklerinde Mentorluk Programları var. Bu olaylar, yeni bilgisayar korsanlarının yetenekli bilgisayar korsanlarıyla ortak olmasına izin verir. Yetenekli bilgisayar korsanları ile birlikte çalışabilir, öğrenme ve böcek avlama tekniklerinizi hızlandırabilirsiniz.

Sinak

Synack – California merkezli bir şirket, kitle kaynaklı bir güvenlik platformudur. Synack, HackerOne veya Bugcrowd kadar basit değildir. Synack topluluğunun bir parçası olmak için bir prosedür izlemeniz ve başvurmanız gerekir. Syncak topluluğu, Synack Kırmızı Ekibinin bir parçası olan 82 ülkeden güvenlik araştırmacılarına sahiptir.

Synack'te bir bilgisayar korsanı veya araştırmacı 2 şekilde para kazanabilir. Birincisi, bir hatayı veya güvenlik açığını takip etmek ve bunları bildirmektir. Diğer yol ise görevleri tamamlamak ve ödeme almaktır. Bunun için Synack Red Team üyesi olmanız gerekmektedir. Kırmızı Takım'a üye olmak için farklı turları uygulamanız ve tamamlamanız gerekir. İlk tur beceri değerlendirmesidir, ardından bir görüşmeye davet edileceksiniz. Bundan sonra, arka plan kontrolünüz yapılacaktır. Ancak bu turları geçtikten sonra Kırmızı Takım'ın bir parçası olabilirsiniz. Bugcrowd, HackerOne vb. diğer şirketler için çalışmış adayları kabul etmezler. Bu listeyi Synack politikasının kendisinden görebilirsiniz.

Son zamanlarda, Hydra Teknoloji platformunu başlattı. Bu teknoloji, Kırmızı Takım için bir kuvvet çarpanı görevi görür. Hydra Technology, yeni saldırı alanları arar ve verilerini Kırmızı Takım'a bildirir. Bu Kırmızı Takım için bir lütuf oldu. Daha hızlı bir oranda hayati güvenlik istihbaratı sağlarlar.

Diğer hata ödül platformları şunlardır:

1. Kobalt Böcek Ödülü
2. Evet Hackliyoruz
3. kasa şapkaları
4. Intigriti

Aarogya Setu Uygulaması

Hindistan'da hata ödül programları olan ve bilgisayar korsanlarına ve araştırmacılara hataları veya güvenlik açığını bildirdikleri için parasal ödüller sunan çok az şirket var. Hata ödül programları sunan şirketlerden bazıları PayTM ve BigBasket'tir.

Son zamanlarda, BT Bakanlığı “Aarogya Setu – CoVID-19 kişi izleme uygulaması”nı açık kaynak olarak ilan etti ve 3 bin rupilik bir hata ödül planı duyurdu. NITI Aayog CEO'su Amitabh Kant, uygulamanın sadece 13 günde 50 milyon indirmeye ulaşan dünyanın en hızlı uygulaması haline geldiğini söyledi.

Hintli yazılım şirketleri ve kuruluşlarının hata ödülleri sunduğu bilinmese de, Hindistan'ın bilgisayar korsanları büyük ölçekte hatalar ve güvenlik açıkları bildiriyor.

Böcek avcılığı bir kariyer seçeneği olabilir mi?

Çok sayıda hata ödül programı, dünya çapında çeşitli platformlarda sunulmaktadır. Avcıların çoğu, sadece bilgi ve böceklere ve güvenlik açıklarına karşı keskin gözleriyle on veya yüz binlerce dolar kazandı. Bu, birçok kişinin hata ödül programlarına konsantre olmasına ve tam zamanlı kariyer olarak seçmesine neden oldu.

Bu, şüphesiz ekstra para kazanmak ve PS5 veya Xbox satın almak için harika bir fırsat. Ancak aile sorumlulukları olan iyi maaşlı bir işi olan biri için, tam zamanlı kariyerleri olarak böcek avına dalmamalıdırlar.

Hataları avlamak ve güvenlik açıklarını bildirmek çok fazla öğrenme, çaba ve zaman gerektirir. Belgeler konusunda eksiksiz olmalı, güvenlik makalelerini okumalı ve rapor yazma alıştırması yapmalısınız. Size uygun bir strateji benimseyin.

Bazen bir hatayı keşfetmek, belgelemek ve raporlamak için yeterince sıkı çalışıyor olabilirsiniz, sırf başka bir bilgisayar korsanının aynı hatayı birkaç saat önce bildirdiğini bilmek için. Santiago Lopez - Arjantinli böcek avcısı HackerOne platformundan 1 milyon dolar kazandı. Hatayı kendisinden daha önce başka birinin bildirmiş olması zaman kaybı olması gerektiğini söyledi. Böcek avında tam zamanlı bir kariyere gitmeden önce bu nokta akılda tutulmalıdır.

Kişisel bakış açısı

Günümüzde cihazların çoğu akıllı cihazlardır ve internete bağlıdır. Şirketler, kullanıcılarının gizliliğine ve güvenliğine öncelik veriyor. Bu nedenle, sistemlerini güvenceye almalarına yardımcı olabilecek herkesi kabul ederek tehdit yüzeyini daha düşük tutmak istiyorlar.

Yine de, işleyişine aşina değilseniz, tam zamanlı bir böcek avcısı olmak iyi bir fikir olmayabilir. Büyük değişikliği yapmadan önce, bir veya iki yıl boyunca yarı zamanlı olarak böcek avcısı olarak çalışmanızı öneririm.