Herkes çevrimiçi platformlardan birine kaydolarak hata ödülüne katılabilir. Ancak Pwnwithlove örneğinde, YesWeHack’in Temmuz 2023’te düzenlediği “canlı etkinlik” sırasında bu disipline ciddi bir ilgi duymaya başladı.
“Böcek avcılarının tamamı bir gün boyunca aynı program üzerinde çalışmak üzere bir araya geldi. Bu vesileyle denedim, hiçbir şey bulamadım ama bu toplulukla biraz tanışmamı sağladı” diye açıklıyor eczacılık eğitimini bıraktıktan sonra CTF’ler dünyası üzerinden sibere gelen bu siber güvenlik öğrencisi.
“İlk başta böcek ödülü bana oldukça ulaşılmaz göründü, ancak insanlarla tanışmak beni motive etti. Daha sonra bana yardımcı olan birkaç arkadaşım vardı, okulumda YesWeHack’te hata ödülü yapan birkaç kişi var” diye açıklıyor.
Platform oyunu
Bu prensip iyi bilinmektedir: Şirketler, güvenlik araştırmacılarına hizmetlerinin tamamı veya bir kısmındaki güvenlik açıklarını arama ve araştırmacılar gerçekten bir kusur bulduğunda ödül ödeme fırsatı sunar. YesWeHack, HackerOne veya Yogosha gibi platformlar şirketleri destekleyerek aracılık görevini üstleniyor.
YesWeHack’te örneğin herkese açık kamu programları ve araştırmacıların davet edildiği özel programlar var: “Çoğu zaman özel programlarda kalmayı tercih ediyorum, bunlar genellikle daha az sıklıkta ve daha ilgi çekici oluyor” diye açıklıyor Pwnwithlove.
Ancak bu farklı programlara erişebilmek için öncelikle halka açık programlar aracılığıyla platformda aktif olmanız ve nasıl çalıştığını biraz anlamanız gerekiyor.
“Avcılara davetiyelerin nasıl gönderildiğini gerçekten bilmiyoruz. Ama tahminlerimiz var! Örneğin platform, güvenlik açıklarının sayısına ve kritikliğine göre hesaplanan bir etki puanı kullanıyor. rol oynayabileceğini düşünüyoruz. » Platformlar, katılımcıları güvenlik açıklarını ortaya çıkarmaya teşvik etmek için “oyunlaştırma” ilkeleriyle oldukça kolay bir şekilde oynuyor: puanlama, masalar ve hatta bazen en aktif katılımcıları ödüllendirecek hediyeler bile sıradan.
Gerçeklikle yüzleşmek
Ancak hata ödülü aynı zamanda gerçek teknolojilere dahil olmanıza ve nasıl çalıştıklarını öğrenmenize de olanak tanır. Pwnwithlove, programlar aracılığıyla geçmişte deneme fırsatı bulamadığı teknolojilere bakma ve web uygulamaları geliştirmek için kullanılan Adobe Coldfusion gibi yeni kusurları tespit etme fırsatı bulduğunu açıklıyor. Daha önce hiç dokunma fırsatı bulamamasına rağmen, merakı onu konuyu biraz daha derinlemesine incelemeye itti, ta ki yayıncıya bildirdiği ve takma adının bir güvenlik kuruluşunun onaylarında görüntülenmesine yol açan 0 günlük bir kusuru fark edene kadar. yayıncının bülteni
“Şirketler tarafından fiilen kullanılan teknolojiler hakkında yeni şeyler öğrenmenin çok iyi bir yolu” diye özetliyor.
Yeni programlara yaklaşmak ve kusurları ortaya çıkarmak için kendi araştırma metodolojisini geliştirdiğini açıklıyor. Öğrenci, “Bu yavaş yavaş geliştirdiğimiz bir şey, belirli refleksleri otomatikleştiriyoruz ve iyi bir “keşif” tekniğine sahip olmak bazen kimsenin görmediği kusurları bulmamızı sağlıyor,” diye temin ediyor öğrenci. Ve böcek avcılığının mutlaka tek başına yapılması gerekmez.
“YesWeHack’te birden fazla kişiyle çalışmanıza olanak tanıyan özellikler var. Aynı program üzerinde birlikte çalışan, ortak hataları bildiren ve ödülleri paylaşan iki veya daha fazla araştırmacıyla işbirlikleri yapabiliriz. » Pwnwithlove’u açıklıyor.
Yardımseverlik değil, zayıf noktalar
Ancak böcek ödülünün asıl çekiciliği elbette bundan elde edilebilecek parasal ödüllerdir. Çünkü kusur arayanları motive etmek için tişört ve teşekkür yeterli değildir. Neyse ki ödenen primler bazen önemli meblağları temsil edebiliyor.
“Çok değişken, bazen birkaç hafta boyunca hiçbir şey bulamıyoruz, bazen de her biri 3.000 avro getiren iki kusuru hızlı bir şekilde art arda bulabiliyoruz. Bundan geçimimi sağlamayı planlamıyorum ama yine de dairem için yeni bir bilgisayar ve mobilya almamı sağladı,” diye açıklıyor genç güvenlik araştırmacısı.
Ancak bir Vadi Avcısının hayatı her zaman kolay değildir. Çoğu durumda, araştırmacıların raporlarını alan şirketler tartışmaya açık ve açıklama konusunda istekliyse, örneğin bir güvenlik açığının ciddiyetinin tahmininde tutarsızlıklar ortaya çıkabilir. Ödülün değeri genellikle güvenlik açığının ciddiyetine endekslendiğinden, konu araştırmacılar için önemsiz değildir.
Ancak bu tür durumlarda arabuluculuk yapmak platformun sorumluluğundadır. Bilinen ancak katlanılabilir bir risk: “Zamanla raporlarımızı gerekçelendirmeyi öğreniyoruz ve açıklama yaparak genellikle iyi gidiyor. Daha sonra birçok böcek avcısı hoş olmayan deneyimler yaşadı. Ancak her zaman başka bir yere bakabiliriz” diye özetliyor Pwnwithlove.