BugBounter nedir? Kurucuları ve paydaşları kimlerdir? Kısaca bahseder misiniz?
Murat Lostar ve Ozan Vakar’la bir araya gelerek kurduğumuz BugBounter ile etik hackerların niteliksel ve niceliksel gücünü bir araya getirerek, siber saldırıların boşa çıkacağı bir dünya vizyonuyla uzmanlardan, yapay zekadan ve çözüm ortaklarından oluşan bir ekosistem kurmayı hedefliyoruz. Şirketlerin siber saldırılara karşı zaaflarını keşfetmek için gerekli tüm sürecin demokratik bir biçimde yürütülmesini sağlayan bir platform sunuyoruz.
Platformun paydaşları kurumlar, çözüm ortakları, servis sağlayıcılar ve etik hackerlardan oluşuyor.
BugBounter’da sistem nasıl işliyor? Kurumlar ve etik hackerlar sisteme dahil olmak için nasıl bir yol izlemeli?
Her şirketin henüz keşfedilmemiş güvenlik açıklarından ötürü siber saldırganlar karşısında bir zafiyeti bulunuyor. Şirketlerin güvenlik ekipleri, çeşitli nedenlerden ötürü yeterince kapsamlı testler için gerekli zamanı ve kaynağı yaratamıyor. Öte yandan dünya genelinde yüz binlerce kötü niyetli hacker, olası zafiyetlerini sömürmek için saldırılarını durmadan güçlü ve akıllı yollarla daha da geliştiriyor.
Biz de şirketlerin güvenlik açıklarını bulma ve doğrulama ihtiyacını kitle kaynak kullanımıyla hızlı ve güvenilir bir şekilde gidermek için yola çıktık. Bu noktada şirketler ile bağımsız siber güvenlik uzmanlarından oluşan topluluğu platform üzerinde bir araya getiriyoruz. Sistemimizde yer alan uzmanlar, ilgili şirketin taranmasını istedikleri alanlardaki güvenlik açıklarını buluyor ve bu açıkları BugBounter üzerinden raporluyor. Raporların kalite kontrol ve doğrulama süreçleri, platform üzerinde gerçekleştirildikten sonra şirkete iletiliyor. Siber güvenlik uzmanları, buldukları açıkların karşılığında önem derecesine bağlı olarak para ödüllerini, hediyeleri, hediye çeklerini veya özel takdir duyurularını kazanabiliyor.
Türkiye’deki şirketlerin bug bounty (ödül avcılığı) programlarına bakış açıları nasıl?
Türkiye’de ödül avcılığı programlarına dahil olmuş şirket sayısı çok yüksek değil ancak bazı şirketlerimiz yurt dışındaki programlardan hizmetler alıyor. Öte yandan bir açık bulunduğunda kendisine haber verilmesini isteyen şirket sayısı oldukça yüksek. Türkiye’de bu modeli uygulayan ilk yerli girişim olarak bu yöntemin büyümesine de öncülük edeceğiz.
Koronavirüs döneminde şirketler ne gibi siber saldırılara maruz kaldı? Saldırılardan korunmak için ne gibi önlemler aldılar/almalılar?
Evden bağlantı araçları ile yöntemlere ve sahte sitelere çok dikkat edilmesi gerekiyor. Özellikle bu kadar hızlı değişimlerin yaşandığı süreçlerde iş devamlılığına daha fazla önem verilmesiyle riskler de artıyor. Son dönemde içinde COVID-19 veya benzeri bir kelime geçen alan adı sayısı on binler seviyesine ulaşmış durumda. Bunların tamamı olmasa da büyük bir kısmı kötü amaçlar için kullanılıyor. Siber suçlular, bu kötü amaçlı web sitelerini ziyaret eden kullanıcıların bilgisayarlarına virüs indirmesini sağlıyor ve dosyalarını şifreleyerek fidye isteyebiliyor. Bunun önüne geçebilmek için evden çalışan bireylerin sistem ve cihazlarının güvenlik taramalarından geçirilmesi çok önemli.
Alabileceğimiz diğer önlemleri ise aşağıdaki gibi sıralamak mümkün:
- İşletim sisteminin güncel yamalarını yükleyin.
- Hesaplarınızda güçlü ve farklı parolalar kullanın ve parolalarınızı belli periyotlarda değiştirin. Bunun için güvenilir şifre yönetim programlarından yararlanabilirsiniz.
- Modemlerinizin aygıt yazılımlarını güncelleyin. Eğer modeminiz çok eskiyse değiştirmeyi düşünün.
- İçinde ne olduğunu bilmediğiniz harici disk gibi donanımları kullanmayın.
- İnternete güvenli ağlar üzerinden bağlanın. Başında https:// olmayan web sitelerine girmeyin.
- Bilgisayarınızı kullanmadığınız zamanlarda kilitleyin veya kapatın.
- Başka birisiyle ekran paylaşmadan önce ekranda hassas bilgiler içeren pencerelerin bulunmadığından emin olun.
- Şirket bilgisayarınız ile kişisel bilgisayarınızı ayrıştırın. Şirket bilgisayarınızı eğlence amaçlı sitelerde gezinmek için kullanmamaya gayret edin.
- Olası bir güvenlik sorununda kimlerle, nasıl iletişime geçeceğinizi not edin.
- Sisteminizin bağımsız bir güvenlik araştırmacısı tarafından test edilmesini sağlayın.
Şirketler, yukarıdakilere ek olarak güvenlik açıklarını keşfetmek için kitle kaynağı (crowdsourcing) yöntemini tercih edebilir. Bu yöntem, korunması gereken sistemleri hacker zihniyetiyle inceleyerek, kritik zafiyetleri bulma ihtimalini artırıyor ve şirketlerin kısıtlı sayıdaki siber güvenlik ekiplerinden çok daha verimli bir çözüm sağlıyor.