Hata Ödülü ve Güvenlik Açığı İfşası Programları Nasıl Çalışır?

Bilgisayar yazılımlarıyla ilgileniyorsanız, onlardan para kazanmak için illa bir geliştirici olmanıza gerek yok. Yazılımların sahip oldukları hataları bulup geliştiricilere bildirerek de gelir elde edebilirsiniz. Bunu bir kariyer olarak yapan güvenlik uzmanları bile vardır ve yaptıkları iş hem güvenli hem de sorunsuz yazılımlar elde etmek için büyük öneme sahiptir. Bu kişilerin yaptığı işe “hata ödüllerinin” veya “güvenlik açığı ifşalarının” peşinde koşmak denir ve sanılanın aksine bunlar birbirinden farklı şeylerdir. Aşağıda, bu programların nasıl çalıştığını ve aralarındaki farkların neler olduğunu izah ediyoruz.

İfşa Programları ve Hata Ödülleri Nasıl Tanımlanır?

Her İkisi Arasındaki Fark

Her iki program aynı amaca sahip olsa da birbirlerinden farklı şekilde çalışırlar. Hata ödülü programları herhangi bir kullanıcıya açıktır. Zira basitçe, ilgili şirket hataların bildirilmesi için bir ödül sunar; ödülün miktarı, bildirilen hatanın ne kadar önemli olduğuna göre değişir. Örneğin, Apple’ın ilgili programının ödülleri 5.000 USD’den başlar ve 1.000.000 USD’ye kadar çıkabilir. Gerçek ödül miktarı, hatanın içeriğine göre değişiklik gösterir. Örneğin:

Güvenlik açığı ifşa programlarına kıyasla hata ödülleri çok daha yaygındır ve hemen hemen tüm büyük şirketlerde bulunurlar. Aşağıda bazı örnekler görebilirsiniz:

Hata ödüllerinden yararlanmak için bir “hacker” olmanıza gerek yoktur. Sıradan kullanıcılar bile basit hataları bildirmeleri karşılığında bir ödül kazanabilir. Örneğin şifreyle korunmuş bir PDF dosyasını kıracak bir açık keşfettiyseniz bunu geliştiriciye bildirebilir ve bir ödül kazanabilirsiniz. Herkese açık olmaları, hata ödüllerini güvenlik açığı ifşa programlarından ayıran en önemli farktır. Bu doğrultuda, güvenlik açığı ifşa programlarının daha önemli sorunlara yönelik olduğunu söyleyebiliriz. Örneğin bir akıllı TV kullandığınızı düşünelim.

Aynı nedenle, ifşa programları genellikle herkese açık değildir ve büyük bir kısmı gizli bildirim yapmanıza olanak tanır. Bu durum, basitçe bir programın içerdiği hataları/açıkları tespit etmek için yapılan şeylerin başlı başına bir “suç” teşkil edebilme ihtimalinden kaynaklanır. Örneğin ağa bağlı cihazları hacklemek, bazı ülkelerin ceza kanunlarında bir suç olarak düzenlenmiştir. Bunu yapan kişi, cezai soruşturma korkusundan ötürü, ilgili açığı bildirmekten kaçınabilir. Gizli bildirim seçeneği işte bu nedenle sunulur. 

İfşa Programları Bir Etkinlik Olarak da Düzenlenebilir

Yukarıdaki bilgilerden tahmin edilebileceği gibi, ifşa programları, “white hat hacker” (beyaz şapkalı hacker) olarak bilinen kişilere hitap eder. Şirketlerin belirli aralıklarla herkese açık bir etkinlik halinde ifşa programları düzenlemesi de mümkündür. Bu gibi etkinliklerin kuralları bir hatayı bildirmekle sınırlı değildir. Katılımcıların belirli bir amacı vardır ve belirli bir süre içerisinde bu amaca ulaşmaları beklenir. Örneğin altı saat içerisinde belirli bir sistemi kırmaları ve bunu yaparken kullandıkları güvenlik açığını tüm detaylarıyla açıklamaları gerekir. Bu gibi etkinlikler promosyonel amaçlarla düzenlenir ve geleneksel ifşa programlarıyla karıştırılmamaları gerekir. Her ikisinde de amaç bir açık tespit edip geliştiriciye bildirmektir, ancak etkinlik olarak düzenlendiğinde hedefin ne olacağı önceden bellidir ve elde edilen sonuçlar genellikle beklenmedik olmaz. Klasik ifşa programları ise, geliştiricinin hiçbir surette aklına gelmeyen güvenlik açıklarını ortaya çıkarabilir.

Diğer bir deyişle, güvenlik açığı ifşa programları, yalnızca uzmanlar tarafından tespit edilebilen ciddi hatalar ve açıklar için vardır. Hata ödülleri ve ifşa programları arasındaki farka şöyle bakmak da mümkündür:

Nihayetinde her iki program da kullandığımız yazılımların ve ürünlerin daha güvenli olmasını sağlar. Sorunları bildirenler bir ödül alır, geliştiriciler ile üreticiler ise sundukları hizmet ve ürünleri daha güvenli hale getirir. Diğer bir deyişle her iki taraf da kazanır.

Exit mobile version