BugBounter nedir? Kurucuları ve paydaşları kimlerdir? Kısaca bahseder misiniz?
Murat Lostar ve Ozan Vakar’la bir araya gelerek kurduğumuz BugBounter ile etik hackerların niteliksel ve niceliksel gücünü bir araya getirerek, siber hücumların boşa çıkacağı bir yerküre vizyonuyla eksperlerden, yapay zekadan ve tahlil ortaklarından oluşan bir ekosistem kurmayı hedefliyoruz. Şirketlerin siber hücumlara karşı zaaflarını keşfetmek için gerekli tüm sürecin demokratik bir biçimde yürütülmesini sağlayan bir platform sunuyoruz.
Platformun paydaşları kurumlar, tahlil ortakları, servis sağlayıcılar ve etik hackerlardan oluşuyor.
BugBounter’da sistem nasıl işliyor? Kurumlar ve etik hackerlar sisteme dahil olmak için nasıl bir yol izlemeli?
Her şirketin şimdi keşfedilmemiş güvenlik açıklarından dolayı siber saldırganlar önünde bir zafiyeti bulunuyor. Şirketlerin güvenlik ekipleri, çeşitli nedenlerden dolayı gereğince kapsamlı testler için gerekli devri ve kaynağı yaratamıyor. Öte yandan yerküre umumunda yüz binlerce beğenilmeyen niyetli hacker, muhtemel zafiyetlerini sömürmek için ataklarını durmadan güçlü ve akıllı yollarla daha da geliştiriyor.
Biz de şirketlerin güvenlik açıklarını bulma ve doğrulama muhtaçlığını kitle kaynak tasarrufuyla süratli ve emniyetli bir biçimde gidermek için yola çıktık. Bu noktada şirketler ile bağımsız siber güvenlik bilirkişilerinden oluşan topluluğu platform üzerinde bir araya getiriyoruz. Sistemimizde nokta alan eksperler, ilgili şirketin taranmasını istedikleri yerlerdeki güvenlik açıklarını buluyor ve bu açıkları BugBounter üzerinden raporluyor. Raporların kalite denetim ve doğrulama süreçleri, platform üzerinde gerçekleştirildikten sonra şirkete iletiliyor. Siber güvenlik bilirkişileri, buldukları açıkların karşılığında değer noktasına bağlı olarak para armağanlarını, ikramları, ikram çeklerini yahut kişisel takdir duyurularını kazanabiliyor.
Türkiye’deki şirketlerin bug bounty (ödül avcılığı) programlarına bakış açıları nasıl?
Türkiye’de armağan avcılığı programlarına dahil olmuş şirket sayısı çok yüksek değil gelgelelim birtakım şirketlerimiz yurt dışındaki programlardan hizmetler alıyor. Öte yandan bir açık bulunduğunda kendisine haber verilmesini isteyen şirket sayısı hayli yüksek. Türkiye’de bu modeli uygulayan birinci yerli teşebbüs olarak bu prosedürün büyümesine de öncülük edeceğiz.
Koronavirüs devrinde şirketler ne üzere siber ataklara maruz kaldı? Hücumlardan korunmak için ne üzere tedbirler aldılar/almalılar?
Haneden irtibat araçları ile yollara ve düzmece sitelere çok dikkat edilmesi gerekiyor. Mahsusen bu kadar süratli değişimlerin yaşandığı süreçlerde iş devamlılığına daha ziyade kıymet verilmesiyle riskler de artıyor. Son devirde içinde COVID-19 yahut gibisi bir söz geçen alan ismi sayısı on binler seviyesine ulaşmış durumda. Bunların tamamı olmasa da büyük bir kısmı beğenilmeyen hedefler için kullanılıyor. Siber hatalılar, bu makûs maksatlı web sitelerini ziyaret eden kullanıcıların bilgisayarlarına virüs indirmesini sağlıyor ve evraklarını şifreleyerek fidye isteyebiliyor. Bunun önüne geçebilmek için haneden çalışan bireylerin sistem ve cihazlarının güvenlik taramalarından geçirilmesi çok kıymetli.
Alabileceğimiz öteki tedbirleri ise aşağıdaki üzere sıralamak mümkün:
- İşletim sisteminin yeni yamalarını yükleyin.
- Hesaplarınızda güçlü ve farklı parolalar kullanın ve parolalarınızı zahir periyotlarda değiştirin. Bunun için emniyetli şifre idare programlarından yararlanabilirsiniz.
- Modemlerinizin aygıt yazılımlarını güncelleyin. Şayet modeminiz çok eskiyse değiştirmeyi düşünün.
- İçinde ne olduğunu bilmediğiniz harici disk üzere donanımları kullanmayın.
- İnternete inançlı ağlar üzerinden bağlanın. Başında https:// olmayan web sitelerine girmeyin.
- Bilgisayarınızı kullanmadığınız devirlerde kilitleyin yahut kapatın.
- Öbür birisiyle ekran paylaşmadan evvel ekranda hassas haberler içeren pencerelerin bulunmadığından emin olun.
- Şirket bilgisayarınız ile zatî bilgisayarınızı ayrıştırın. Şirket bilgisayarınızı parti maksatlı sitelerde gezinmek için kullanmamaya uğraş edin.
- Mümkün bir güvenlik derdinde kimlerle, nasıl muhabereye geçeceğinizi not edin.
- Sisteminizin bağımsız bir güvenlik araştırmacısı tarafından test edilmesini sağlayın.
Şirketler, yukarıdakilere ek olarak güvenlik açıklarını keşfetmek için kitle kaynağı (crowdsourcing) formülünü tercih edebilir. Bu sistem, korunması gereken sistemleri hacker zihniyetiyle inceleyerek, kritik zafiyetleri bulma ihtimalini artırıyor ve şirketlerin kısıtlı sayıdaki siber güvenlik ekiplerinden çok daha verimli bir tahlil sağlıyor.
