‘Ödül Avcısı’ Türk, Yandex’in Şeref Listesi’ne 4. kez girdi

Yandex servislerinin daha güvenli hale getirilmesi konusunda yardımcı olan ve en önemli güvenlik açıklarını ihbar eden kullanıcılara Yandex’in özel Şeref Listesi’nde yer veriliyor. Yandex’te bugüne kadar dört önemli bir güvenlik açığı bulan Gökmen Güreşçi, hatayı Rus internet devine bildirdi. Güreşçi, bu sayede Yandex’in Şeref Listesi’nde tam dört kez yer aldı. Biz de bu noktadan hareketle, güvenlik açığını bulan Gökmen Güreşçi’yle bu alandaki tecrübesini konuştuk.

  • Yandex’in Şeref Listesi’ne girmenizi sağlayan güvenlik açığını bulmanız nasıl oldu?

Yandex konusu şöyle oldu; artık büyük ve güvenliğe önem veren firmalar “siber suçlular”dan bir adım önde olmaya çalışmak için kendi içlerinde uyguladıkları güvenli yazılım geliştirme süreçleri ve yaptıkları testlere ek olarak bir de topluluğun fikir ve yeteneklerine önem vermeye başladılar.. Böylece çok farklı saldırı teknikleriyle sitelerinin ve servislerinin güvenliğini üst noktalara çekmeye çalışıyorlar.

  • İnternet şirketleri nasıl bir güvenlik prosedürü uyguluyor?

Bu firmalar zaten sürekli kendi testlerini yapıyorlar. Ancak her zaman farklı bir yol vardır ve bunu onlarda biliyor. Bu yüzden de siteleri ve servisleri üzerinde zafiyetler keşfedilsin ve kendilerine bildirilsin diye, buna izin verdiklerine dair sitelerinde bir bildiri yayınlıyorlar. Böylece bütün iş yasal hale geliyor.

  • Bir nevi ödül avcılığı sistemi mi oluşmuş durumda?

Birçok büyük firma ödül avcılığı (bug bounty) dediğimiz bu programa sahip. Ben de bunlardan kendi kriterlerime göre seçtiklerime katıldım. Yandex, Google, PayPal, Microsoft, BlackBerry, Pinterest, eBay, Foursquare, Nokia, Barracuda Networks, DropBox, Apple gibi sitelerin programlarına katıldım ve başarılı oldum. Ancak aralarında benim için en iyisi hala Yandex’tir.

  • Hata bulanlara nasıl bir ödüllendirme sistemi uygulanıyor? Para ödülü veya hediyeler mi var?

Kimileri siteleri üzerinden sadece teşekkür ederken kimileri eşantiyonlar, tişörtler falan gönderiyor. Kimileri ise buna ek olarak bir de para ödülü vaad ediyorlar. Anlayacağınız herkes kendi imkanları dahilinde gönlünden ne koparsa.

  • Türkiye’deki internet kullanıcıları güvenlik açıkları bulma noktasında ne aşamada?

Türkiye aslında bu konuda pek de geri değil. Facebook’un en son açıkladığı rakama göre en çok ödül gönderdikleri ülkeler ABD, Hindistan, İngiltere, Türkiye ve Almanya. Türkiye’den gelen raporların günbegün arttığı da ayrıca belirtilmiş.

  • Yandex’le yaşadıklarınıza gelirsek…

Benim Yandex üzerinde zafiyet aramaya başlamam biraz komik bir hikaye. Çünkü bu programı bilmem ve takip ediyor olmama rağmen katılmamıştım. Hatırlarsınız Yandex.Türkiye’nin yaptığı Lamborghini çekilişi vardı. Ben de ilk kez o zaman, çekilişe katıldıktan hemen sonra, Yandex sitesinde normalden fazla vakit harcadım. Aklıma gelen bir fikirle birazda kurcaladıktan sonra ilk açığımı buldum. Sonrasında çokça kez farklı önem ve risk düzeyinde farklı açıklar bildirdim.

  • Yandex’te bulduğunu hatalarla ilgili bilgi verebiliyor musunuz?

Bu programların sahip olduğu iki temel kuraldan biri belirli bir süre zafiyeti üçüncü bir kişiyle paylaşmamaktır. Diğeri ise başka kullanıcıların hesaplarına erişmemek ve herhangi bir şekilde zarar vermemektir. Maalesef o yüzden detay veremiyorum.

  • Bildirim için nasıl iletişime geçtiniz?

Zafiyeti bulduktan sonra Yandex’in sitesinde yer alan yönergeleri takip ederek direk Yandex.Güvenlik ekibine ulaşacak şekilde raporunuzu ve kanıtlarınızı hatta varsa çözüm önerilerinizi gönderiyorsunuz. Sonrasında gönderdiğiniz rapor değerlendirmeye alınıp gerçekten öyle bir zafiyetin olup olmadığı kontrol ediliyor. Eğer zafiyet doğruysa ve sizden daha önce biri bildirmemişse ödülü kazandınız demektir. Ondan sonra belirli bir süre açığın kapatılması için sizden zaman isteniyor. Sonrasında ise ödemenizi alıyorsunuz. Tüm bunların en güzel yanı ise yaptığınız iş tamamen yasal ve karşı taraf bunu yapmanızdan memnun oluyor.

  • Türkiye’deki internet şirketleri, benzer hata bildirme sistemleri uyguluyor mu?

Hayır. Dünyanın en büyük sitelerindeki açıkları bulabilen hatırı sayılır Türk varken Türkiye’deki firmaların böyle bir programa sahip olmayışı ayrıca ironik.

Editörün Notu: Yandex’in Şeref Listesi’ne göz attığımızda Türkiye’den Kamil Sevi, Osman Doğan, Evren Yalçın ve Alirahman Köse’nin de girdiğini görüyoruz. Güvenlik uzmanı Gökmen Güreşçi ise bu listede dördüncü kez yer aldı. Bu arada, röportajımızda Güreşçi’nin fotoğrafına kendisini talebi üzerine yer vermediğimizi de not düşelim.