Bilgisayar yazılımlarıyla ilgileniyorsanız, onlardan para kazanmak için illa bir geliştirici olmanıza gerek yok. Yazılımların sahip oldukları hataları bulup geliştiricilere bildirerek de gelir elde edebilirsiniz. Bunu bir kariyer olarak yapan güvenlik uzmanları bile vardır ve yaptıkları iş hem güvenli hem de sorunsuz yazılımlar elde etmek için büyük öneme sahiptir. Bu kişilerin yaptığı işe “hata ödüllerinin” veya “güvenlik açığı ifşalarının” peşinde koşmak denir ve sanılanın aksine bunlar birbirinden farklı şeylerdir. Aşağıda, bu programların nasıl çalıştığını ve aralarındaki farkların neler olduğunu izah ediyoruz.
İfşa Programları ve Hata Ödülleri Nasıl Tanımlanır?
Her İkisi Arasındaki Fark
Her iki program aynı amaca sahip olsa da birbirlerinden farklı şekilde çalışırlar. Hata ödülü programları herhangi bir kullanıcıya açıktır. Zira basitçe, ilgili şirket hataların bildirilmesi için bir ödül sunar; ödülün miktarı, bildirilen hatanın ne kadar önemli olduğuna göre değişir. Örneğin, Apple’ın ilgili programının ödülleri 5.000 USD’den başlar ve 1.000.000 USD’ye kadar çıkabilir. Gerçek ödül miktarı, hatanın içeriğine göre değişiklik gösterir. Örneğin:
- Apple, iCloud hesaplarına yetkisiz erişim veren hataların bildirilmesine 100.000 dolar ödeme yapar.
- Bulduğunuz hata, kilitli bir cihazdan veri almayı mümkün kılıyorsa ödül miktarı 250.000 dolara çıkacaktır.
- 1 milyon dolara kadar bir ödül kazanmak istiyorsanız, sistem çekirdeğine tam erişim elde edilmesine izin veren bir hata bulmanız gerekir.
Güvenlik açığı ifşa programlarına kıyasla hata ödülleri çok daha yaygındır ve hemen hemen tüm büyük şirketlerde bulunurlar. Aşağıda bazı örnekler görebilirsiniz:
- Facebook: minimum 500 USD, maksimum limit yok
- GitHub: minimum 617 USD, maksimum 30.000 USD
- Google: minimum 100 USD, maksimum 31.337 USD
- Intel: minimum 500 USD, maksimum 100.000 USD
- Microsoft: minimum limit yok, maksimum 250.000 USD
- Mozilla: minimum 100 USD, maksimum 10.000 USD
Hata ödüllerinden yararlanmak için bir “hacker” olmanıza gerek yoktur. Sıradan kullanıcılar bile basit hataları bildirmeleri karşılığında bir ödül kazanabilir. Örneğin şifreyle korunmuş bir PDF dosyasını kıracak bir açık keşfettiyseniz bunu geliştiriciye bildirebilir ve bir ödül kazanabilirsiniz. Herkese açık olmaları, hata ödüllerini güvenlik açığı ifşa programlarından ayıran en önemli farktır. Bu doğrultuda, güvenlik açığı ifşa programlarının daha önemli sorunlara yönelik olduğunu söyleyebiliriz. Örneğin bir akıllı TV kullandığınızı düşünelim.
- Sıradan bir kullanıcı, bu TV’nin akıllı yazılımıyla ilgili bir sorunu üreticiye bildirebilir. Bu sayede, hata ödülü programı çerçevesinde belirli bir ödüle hak kazanacak ve TV’nin stabil hale getirilmesine yardımcı olacaktır.
- Bir hacker ise basitçe bu TV’nin bir açığını kullanarak bağlı olduğu ağa sızabilir ve o ağa bağlı cihazları da hackleyebilir. Bu ciddi bir güvenlik açığıdır ve ilgili program aracılığıyla üreticiye bildirilebilir.
Aynı nedenle, ifşa programları genellikle herkese açık değildir ve büyük bir kısmı gizli bildirim yapmanıza olanak tanır. Bu durum, basitçe bir programın içerdiği hataları/açıkları tespit etmek için yapılan şeylerin başlı başına bir “suç” teşkil edebilme ihtimalinden kaynaklanır. Örneğin ağa bağlı cihazları hacklemek, bazı ülkelerin ceza kanunlarında bir suç olarak düzenlenmiştir. Bunu yapan kişi, cezai soruşturma korkusundan ötürü, ilgili açığı bildirmekten kaçınabilir. Gizli bildirim seçeneği işte bu nedenle sunulur.
İfşa Programları Bir Etkinlik Olarak da Düzenlenebilir
Yukarıdaki bilgilerden tahmin edilebileceği gibi, ifşa programları, “white hat hacker” (beyaz şapkalı hacker) olarak bilinen kişilere hitap eder. Şirketlerin belirli aralıklarla herkese açık bir etkinlik halinde ifşa programları düzenlemesi de mümkündür. Bu gibi etkinliklerin kuralları bir hatayı bildirmekle sınırlı değildir. Katılımcıların belirli bir amacı vardır ve belirli bir süre içerisinde bu amaca ulaşmaları beklenir. Örneğin altı saat içerisinde belirli bir sistemi kırmaları ve bunu yaparken kullandıkları güvenlik açığını tüm detaylarıyla açıklamaları gerekir. Bu gibi etkinlikler promosyonel amaçlarla düzenlenir ve geleneksel ifşa programlarıyla karıştırılmamaları gerekir. Her ikisinde de amaç bir açık tespit edip geliştiriciye bildirmektir, ancak etkinlik olarak düzenlendiğinde hedefin ne olacağı önceden bellidir ve elde edilen sonuçlar genellikle beklenmedik olmaz. Klasik ifşa programları ise, geliştiricinin hiçbir surette aklına gelmeyen güvenlik açıklarını ortaya çıkarabilir.
Diğer bir deyişle, güvenlik açığı ifşa programları, yalnızca uzmanlar tarafından tespit edilebilen ciddi hatalar ve açıklar için vardır. Hata ödülleri ve ifşa programları arasındaki farka şöyle bakmak da mümkündür:
- Hata Ödülü Programları ile hangi hatanın düzeltildiğini bilirsiniz. Güncelleme bilgisinde hatanın tam olarak ne olduğu belirtilecektir.
- Güvenlik Açığı İfşa Programları ile düzeltilen hatalardan genellikle haberiniz olmaz. İlgili şirket yalnızca bir “güncelleme” yayımlar ve ayrıntı vermeden ilgili hatayı kapatır.
Nihayetinde her iki program da kullandığımız yazılımların ve ürünlerin daha güvenli olmasını sağlar. Sorunları bildirenler bir ödül alır, geliştiriciler ile üreticiler ise sundukları hizmet ve ürünleri daha güvenli hale getirir. Diğer bir deyişle her iki taraf da kazanır.