Siber SavunmaSistem GüvenliğiZafiyet Tespiti

Türkiye’de Kurum Zafiyetleri

Merhabalar arkadaşlar,

Bu blogda yer aldığınıza göre siber güvenlik konusuna bir şekilde aşinalığınız mevcut olarak düşünüyorum. Bug Bounty programları hakkında bilginiz var mı bilmiyorum ama ben kısaca açıklayayım.

Nedir Bug Bounty?

Şirketler farklı gözlerle sistemlerini test ettirmek ve güvenliklerini pekiştirmek için iyi niyetli güvenlik uzmanlarına, “benim sistemimi test et, açık bulursan sana para öderim” diyor. İyi niyetli güvenlik uzmanı (ki buna beyaz şapkalı hacker de denebilir) sistemde bir zafiyet bulduklarında bunu şirkete raporluyor. Şirket açığı kapatıp, güvenlik uzmanına da bulduğu açık için bir ücret ödüyor. Alan memnun, satan memnun meselesi. Şirket açığının farkında olup açığı kapattığı için +1 güvenli bir sisteme sahip olmuş olmakla memnun, güvenlik uzmanı ise buradan para kazanmaktan.

Türkiye’de durum ne?

Türkiye’de durum yukardakinden biraz daha farklı. Bir arkadaş grubu ile bir yere gittiğinizde, sanatla ilgilenen arkadaşınız hemen duvardaki tablolara yapışacak. Parke işi yapan varsa, yerdeki parkenin kalitesine, döşenme şekline bakacak. İç mimarsa mekanın dizaynını inceleyecek. E sadece bizde değil? Her mesleğin doğasında var demekki. Biz ne yapıyoruz? Bir sisteme girdiğimizde, artık el alışkanlığı haline gelmiş olarak sistemin güvenlik açığı olabilecek yerlere hemen bir iki test yapıp güvenli olup olmadığına bakıyoruz. Bunda yanlış bir şey var mı? Ben yok olarak görüyorum ama ilgili kanun, yapacağınız testi saldırı olarak gösterip, loglar ile mahkemede size 6 yıl hapis cezasını verdirebilir mi? Evet!

Türkiye’de Bug Bounty olsa ne olur?

Yurt dışında, bu programı kabul etmiş şirketlere saldırdığınızda, daha doğrusu test yaptığınızda şirketler size karşı dava açmıyor. Açık bulursan, paranı alırsın. Açık yoksa, güvendeyiz demekki diyerek işlerini yapmaya devam ediyorlar. Türkiye’de ismini vermeyeceğim ama teknoloji konusunda çok ciddi yatırımları olan GSM şirketlerinden bir tanesine siz en ufak bir test uyguladığınızda, testin farkında olup olmamaları hiç önemli değil. Siz bu zafiyeti, kendilerine raporladığınızda size çok hızlı bir dönüş yapılıyor! Ama baktığımızda bize dönüş yapan, firmanın IT birimi değil, Güvenlik birimi değil, Yönetim birimi değil. HUKUK Birimi! Tespitiniz yapıldığı anda, sistemlere saldırmaktan hakkınızda dava açılıyor. Siz iyi niyet göstergesi olarak, elinizde zafiyet bildirimini bulundursanız dahi, bu Türkiye şartlarında pek geçerli olmuyor.

Bu işin en kötü tarafı. Ya hiç cevap almayacaksınız, sallanmayacaksınız. Ya şirket size dönüş yapıp “Sağolasın kardeş ya” diyecek. Ya hakkınızda dava açılacak, aylarca veya hatta yıllarca sürüneceksiniz.

Bug Bounty “öcü” değil!

Firmalar, bu programa dahil olarak kendilerini daha güvende hissetmek varken niye hukuk birimine bu kadar para harcıyor gerçekten merak ediyorum. Kötü amaçlı insanlar zaten hep var, ordan o açığı bulduğunda tüm veritabanını alıp, undergroud’da satarak senin vaad edeceğin paranın tonlarca fazlasını kazanacak yöntemleri zaten biliyorlar. O veriler dışarı çıktığında belki elinde şirket diye bir şey kalmayacakken, 300-500 dolarlık ödemelerden niye bu kadar kaçılıyor?

Bug Bounty Faydaları

Maddeler halinde bu programa dahil olacak şirketlerin menfaatlerini sayalım mı?

1- İnsanlara karşı “güven” verebilmenin bence ideal yollarından bir tanesidir. Biz korkmuyoruz, açık ve şeffafız.

2- Güvenlik uzmanlarına her yıl tonla para vermektense, freelance yaptırarak çok az bir parayla bu işi çözebiliyorsunuz.

3- Yıllarca aynı şirkete güvenlik testi yaptırıp hacklenen, onlarca şirket biliyoruz değil mi? Farklı gözler her zaman daha iyidir.

4- Farklı alanlarda uzman, farklı şeyler düşünen belki binlerce insan sizin sisteminizi elden geçiriyor. Bu büyük avantaj.

5- Hep sabit güvenlik sınırlarında kaldığınızda kendinizi geliştirme şansınız malesef yok. Bu programlarla sürekli açıklarınızı kapatarak “güvenli sistem” konusunda ibrenizi bir tık yukarıya taşıyabilirsiniz.

6- Güvenlik açığı bildirimi geldiğinde, oturup bu açık üzerinden ne tür işlemler yapılmış olabilir, veya yapılabilir diye toplantı yaparak, olası bir sızma sonucunda yapılacak “acil müdahale merkezi” oluşturabilirsiniz.

Bu ve bunun gibi bir çok sebep sayılabilir. Şu an Nasa gibi dev kurumlar kendilerini hackleyecek insanlar arıyor. Pentagon iştah kabartıcı tekliflerde bulunuyor. Olay dünyada bu şekildeyken, ülkemizde hala şekillenmemiş olması, şekillenmiyor olması biraz üzücü.

Bir devlet kurumunda zafiyet bulduğunuzda, öncelikle gidip ilgili kişilerle görüşerek, devletin böyle bir açığı var bunu kapatın diye uyarma hissiyatına kapılıyorsunuz. Gidip durumu anlattığınızda “tehdit” ediliyormuş hissiyatına kapılarak, sizi düşman olarak görerek içinizdeki tüm iyi niyet suistimal ediliyor. Burada yatan sebep te tam olarak şu aslında. İnsanlar yaptıkları işlere güvenmiyor. Bir yazılımcı yaptığı bir yazılımın zafiyeti olabileceği ihtimalini düşünmüyor. Zafiyet olduğu an “becerememiş” psikolojisine kapılmaktan ısrarla vazgeçmiyor. Bu kötü bir durum tabiki. Ama ne yazılımcı ile alakalı ne de yönetici ile alakalı bir konu değil bu güvenlik meselesi. Yazılımcı yaptığı yazılım dolayısıyla kınanacak değil, yönetici de koltuğundan olacak değil. Bir eve hırsız girdiği zaman polis çelik kapıyı satan firmanın peşine düşmüyor. Niye güvenli değil diye. Sen elinden geldiğince güvenlik önlemi aldıysan, senlik konu zaten kapanmış demektir.

Güvenli günlere..

Share:

Leave a reply