Etik Hacker’ların Ödül Avcılığı Programlarından Elde Edeceği Gelir 2025’te 1 Milyar Dolara Ulaşacak

Siber korsanlık dendiğinde akla ilk gelen kişiler, kendilerine 42 milyon dolar ödenmediği takdirde ABD Başkanı Donald Trump’ın gizli sırlarını ortaya saçacakları tehdidini savuranlar olabilir. Ayrıca, Apple’ın iOS işletim sisteminde keşfettikleri güvenlik zafiyeti üzerinden kullanıcılara saldırı düzenleyen siber korsanlar da haberlerine rastladığımız kötü niyetli kimseler arasında. Diğer yandan siber korsan tanımı, güvenlik zafiyetlerini araştırarak uygulama ve web hizmetlerinde saklı olan tehditleri ortaya çıkaran insanları da kapsıyor. Kötü amaçlı saldırılar düzenleyen ‘siyah şapkalı’ siber korsanların faydalandığı güvenlik açıklarını tespit eden ve bildiren kişilere, beyaz şapkalı hacker (veya siber korsan) adı veriliyor.

Bu noktada kendilerini güvenlik açıklarını ortaya çıkarmaya adamış bir beyaz şapkalı hacker örgütü olan HackerOne’ın bugüne kadar 100 milyon dolar kazanmış olduğunu duymak şaşırtıcı olabilir. Küresel alanda sayısız şirketin uyguladığı “bug bounty” programları kapsamında beyaz şapkalı hacker’lar bildirdikleri tehditler üzerinden para ödülü alıyor. 100 milyon dolar barajını devirmeyi başaran siber korsan örgütünün, 2025 yılı itibarıyla 1 milyar dolar gelire ulaşabileceği düşünülüyor.

“Beyaz şapkalı” ifadesinin yanı sıra “etik” siber korsanlar olarak da anılan güvenlik araştırmacılarının sayısı Mayıs 2020 itibarıyla 700 bin civarında. Beyaz şapkalı hacker’ların büyük kısmı, müşteri olarak yaklaşık 2 bin firmaya sahip olan HackerOne ödül avcılığı platformunun üyesi. HackerOne, siber korsanlar ile şirketler arasında bağlantı kurarak siber güvenlik tehditlerinin ortaya çıkarılması, raporlanması ve karşılığında da ödeme alınması sürecini denetliyor.

Peki Hackerone gibi uluslararası bir oluşuma dahil olabilmek için neler yapmanız gerekiyor? İlk olarak beyaz şapkalı bir hacker olmanız gerekli. Etik bir güvenlik araştırmacısı olabilmek için ise belli sertifikalar edinmeniz gerekiyor. İlk adımda, “sertifikalı ağ koruyucusu (C|ND) olmalısınız. Her ne kadar zorunlu olmasa da C|ND bir etik hacker için çok önemli, çünkü savunacağınız ana sistemler üzerindeki yetkinliğinizi gösteren temel sertifikalar arasında. Bu sertifikaya sahip bir beyaz şapkalı hacker, ağ bileşenleri ve ağ savunmasının temel ilkeleri hakkında bilgi sahibi olduğunu kanıtlamış oluyor.

İkinci adımda, uluslararası alanda etkin olmak isteyen beyaz şapkalılar için edinmesi şart bir sertifika söz konusu: C|EH. Elektronik Ticaret Konseyi (EC-Council) tarafından sunulan ve ABD Ulusal Standartlar Enstitüsü (ANSI) tarafından akredite edilen sertifika, aynı zamanda ABD Savunma Bakanlığı tarafından da kabul ediliyor. C|EH ile ABD’de devlet kurumları arasında trend olmaya başlayan birçok ödül avcılığı programına katılabilirsiniz.

Uluslararası alanda kimliği bulunan bir beyaz şapkalı hacker olmak için edinmeniz gereken sertifikalar C|ND ve C|EH ile sınırlı değil. Üçüncü basamakta C|EH programını tamamlamanız büyük fayda sağlayacaktır. Bu programda aldığınız testte başarılı olursanız, beyaz şapkalı hacker sanayisinde çalışmaya hazır olduğunuzu kanıtlamış oluyorsunuz.

Eğer hayatını ödül avcılığına adayacak ve bunun için mücadele verecek bir hacker olmayı istiyorsanız, almak isteyeceğiniz dört sertifika daha mevcut. EC-Council Güvenlik Analisti Sertifikası, 12 saat süren bir testin ardından başarılı olursanız size veriliyor. Penetrasyon Testi Uzmanlığı, Adli Tıp Analist Uzmanlığı ve Fiziksel Güvenlik Uzmanlığı odaklanacağınız alana göre tercih edebileceğiniz diğer programlar.

Beyaz şapkalı hacker olmak isteyenlerin dikkat etmesi gereken husus, artık şirketlerin hacker kimliğine çok daha fazla dikkat ediyor olması. Evinizde kendi başınıza yapacağınız analizler ile tespit ettiğiniz güvenlik açıkları, bir kimliğiniz ve bu kimliği doğrulayacak belgeler ile tecrübe olmadan kabul edilmeyebilir. Bilişim Teknolojileri (BT) alanında eğitim görmüş veya çalışmış (ya da çalışıyor) iseniz bu beyaz şapkalı sektörüne girmenizi kolaylaştıracaktır.

HackerOne’a dahil olmak için web sayfası üzerinden hesap açıp belli şartlara uyacağınıza söz vermeniz yeterli. Ancak unutmayın ki beyaz şapkalı sanayisinde var olmak sadece bir sayfada hesap açmanın çok ötesine geçiyor.

Sonrasında, Hackerone sizi davet ettiği dünyaya hazırlamak için birçok fırsatı değerlendirmenizi istiyor. Bunlar arasında Hacker101 eğitimini almak, Burp Suite etik hacker aracını öğrenmek ve Peter Yaworski imzalı Web Hacking 101 kitabını okumak var. Kısacası Hackerone, etik hacker sanayisine adım atmanızı ve diğer hacker’lar ile etkileşime girerek kendinizi bu göreve adamanıza yardımcı oluyor.

Yıl 2013 ve ilk ödeme…

Beyaz şapkalı hacker’lara ilk ödeme 2013 yılında 475 dolar olarak kayıtlara geçti. Günümüze gelindiğinde, ödül avcılığından elde edilen toplam gelir 100 milyon doları geride bırakmış durumda. HackerOne’ın 2019’a kadar ödediği toplam miktar 40 milyon doları geride bıraktı. Sayıları çok fazla olmamakla birlikte platform bünyesinde yer alıp milyoner olmayı başarmış etik hacker’lar bile mevcut.

HackerOne CEO’su Marten Mickos, platform üzerinden bugüne kadar şirketlere 17 binden fazla güvenlik zafiyetinin bildirildiğini vurguluyor. Bu kısa bilginin arka planı ise son derece sofistike: Her bir bildiri, şirketleri ortalama 8 milyon dolarlık mali zarardan kurtarıyor. Bu sayede şirketlerin bugüne dek yapmış olduğu tasarruf onlarca milyar olarak ifade ediliyor.

Hackerone, dijital dünyayı daha güvenli kılmak ve teknolojiyi ileri taşımak isteyen beyaz şapkalılara giderek artan ölçekte fırsatlar sunuyor. İlk ödülünü Ekim 2013’te 30 bin dolar olarak dağıtan Hackerone, Nisan 2020’de aylık ödeme miktarını 5,9 milyon dolara çıkardı.

Koronavirüs sürecinde bencillikleri iyice artan ve hastaneler ile diğer kurumlara saldırılarını artıran siyah şapkalı hacker’lara karşı direnişi temsil eden beyaz şapkalılar, Hackerone ile güvenli dijital dünyanın ‘zengin’ savunucularını temsil ediyor.

Her saat, Hackerone’a ortalama 84 yeni beyaz şapkalı hacker kayıt yaptırıyor. Her saat başında ortalama 6 bin dolar ödül ödeniyor.

Hackerone üzerinden ödenen ödüllerin miktarı her yıl ortalama yüzde 85.6 artış gösteriyor. Ayrıca son bir yıl içinde ABD hükümetinin beyaz şapkalı hacker’lardan gördüğü fayda, hükümet güvenlik sistemerinin yüzde 214 güçlenmesini sağladı.

Hackerone’ın yeni beyaz şapkalı hacker adaylarına sunduğu Hacker101 eğitiminin kullanım oranı ise bir yılda yüzde 343 arttı. Hackerone bünyesindeki güvenlik araştırmacılarının analiz ettikleri en yeni 2 bin tüketici programında ortaya çıkardığı güvenlik zafiyeti ise 170 bin.

Gelecek fırsatlarla dolu olabilir

HackerOne CEO’su Mickos, 2025’e gelindiğinde bünyelerindeki etik siber korsanlara yapılacak toplam ödemenin 1 milyar dolara ulaşacağını öngörüyor. Tahminlerine göre küresel alanda tespit edilmeyi bekleyen 100 milyon güvenlik açığı mevcut ve etik siber korsanlar, şirketlerin yanı sıra hükümetleri hem daimi hem de geçici tehditlerden korumaya devam edecek.