W E B U Y G U L A M A L A R I N D A Ö D Ü L AV C I L IĞ I AV G Ö Z Ü N D E N

G Ö K M E N G Ü R EŞÇ İ

G Ö K M E N G Ü R EŞÇ İ

▸ BilgisayarMühendisi@NamıkKemalÜniversitesi

▸ İşletme@AnadoluÜniversitesi

▸ Güvenlikmeraklısı,düşkünü,araştırmacısı

▸ Webpen

▸ DigitalForensics&IncidentResponse(DFIR)

▸ Cypherpunk

H U N T I N G✤ Yandex (x18)

✤ Google (x3)

✤ Zemana

✤ Card.com

✤ Nokia

✤ Microsoft (x4)

✤ Schuberg Philis

✤ Foursquare

✤ eBay

✤ Pinterest

✤ Barracuda Networks

✤ BlackBerry

✤ PayPal

✤Apple

✤Dropbox

✤ StopTheHacker (part of CloudFlare)

✤Atlassian (x2)

✤Mega.NZ (KimDotCom)

✤Whitehat Security

✤ F-Secure

✤Deutsche Telekom

✤Amazon Web Services (AWS)

✤ vb.

Ö D Ü L AV C I L IĞ I N E D İR ?

▸ Bir uygulamadaki zafiyetlerin kapatılmak üzere ilk kez üreticisine / geliştiricisine bildirilmesi ve karşılığında çeşitli ödüllerin kazanılması

▸ Bir tür Responsible Disclosure

▸ Tişört, kupa, suluk, bileklik vb. eşantiyonlar

▸ Para

TA R İH Ç E S İ

• Google: $6M+ (2010)

• HackerOne: $6.6M (2013)

• Facebook: $4.3M+ (2011)

• Bugcrowd: ~$724K (2012)

• Yandex: $120K+ (2011)

• GitHub: ~$100K (2013)

– M I K E R E AV E Y, M I C R O S O F T

“I don’t think that filing and rewarding point issues is a

long-term strategy to protect customers”

B Y FA I L I N G T O P R E PA R E , Y O U A R E P R E PA R I N G T O FA I L

BENJAM IN FRANKL IN

A N Y O N E W H O H A S N E V E R M A D E A M I S TA K E H A S N E V E R T R I E D A N Y T H I N G N E W.

ALBERT E INSTE IN

G Ü V E N L İK Z A F İY E T İ O L M AYA N U Y G U L A M A , S İS T E M Y O K T U R !

S A D E C E H E N Ü Z K EŞF E D İ L M E M İ ŞT İR …

A S H I P I S A LW AY S S A F E AT T H E S H O R E — B U T T H AT I S N O T W H AT I T I S B U I LT F O R .

ALBERT E INSTE IN

P E N T E S T

S A D E C E P E N T E S T E O D A K L A N M A

P E N T E S T İ G E Ç T İM D İY E S E V İN M E

P E N T E S T L E R D E K I S I T L I B İR Z A M A N D İ L İM İN D E K I S I T L I B İR K A P S A M D A K I S I T L I B İR E K İP İ L E Ü R Ü N E , U Y G U L A M AYA O D A K L A N I L I R

Ö D Ü L AV C I L IĞ I N D A İS E S I N I R S I Z Z A M A N V E Ç OĞU N L U K L A G E N İ Ş B İR K A P S A M VA R D I R

Ç Ü N K Ü D Ü N YA N I N H E R H A N G İ B İR Y E R İN D E K İ Y E T E N E K L İ B İR K İ Ş İ U Y G U L A M A N D A H E R K E S İN G Ö Z Ü N D E N K A Ç I R D IĞ I B İR Z A F İY E T İ B U L A B İ L İR

~ 9 AY C V S S > = 6 . 0

P E N T E S T R A P O R U N D A N H ATA L A R I N I ÖĞR E N M E L İS İN V E O N L A R I E N M A K U L * ŞE K İ L D E Ç Ö Z M E L İS İN

S O N AŞA M A D A YA Z I L I M I “ G Ü V E N L İ ” H A L E G E T İR M E K T E N Ç O K B AŞTA N İT İB A R E N S Ü R E Ç L E R İN İ İY İ L EŞT İR M E Y E Ç A L IŞ

FA I L U R E I S S I M P LY T H E O P P O R T U N I T Y T O B E G I N A G A I N , T H I S T I M E M O R E I N T E L L I G E N T LY

HENRY FORD

Y O K S A ;

P E N T E S T L E R İN % 9 0 ’ I B OŞA PA R A H A R C A M A K O L A B İ L İR

Ü Ç Ü N C Ü B İR ŞA H S I N S İS T E M L E R İN İ K U R C A L AYA C AĞ I N A K E N D İN İ A L IŞT I R

– Z A N E L A C K E Y

“It’s the Internet. You’re already getting pentested continuously,

you’re just not receiving the report”

Ö D Ü L AV C I L IĞ I P R O G R A M I B AŞ L AT T IĞ I N D A T R A F İ Ğ İN B İR A N D A Ö N G Ö R E M E D İ Ğ İN ŞE K İ L D E A R TA B İ L İR

B U N U N L A N A S I L B AŞA Ç I K A C AĞ I N I N H A Z I R L IĞ I N I YA P M A L I S I N

“ D Ü Z G Ü N V E E T K İN ” * B İR G Ü V E N L İK E K İB İ O L UŞT U R

H E R G E L E N R A P O R G Ü V E N L İK Z A F İY E T İ O L M AYA B İ L İR

B U N U T E K R A R D OĞR U L AYA B İ L E C E K “ D Ü Z G Ü N V E E T K İN ” * B İR G Ü V E N L İK E K İB İN O L M A L I

G E L E N R A P O R L A R I A N L AYA C A K , D OĞR U L AYA C A K V E G E R E K İR S E Ç Ö Z Ü M Y O L L A R I N I G E L İ ŞT İR İC İ L E R E A N L ATA B İ L E C E K

H AT TA B E L K İ B E N Z E R İ Z A F İY E T L E R İÇ İN D A H A D E R İN L E M E S İN E S AV U N M A M E K A N İZ M A L A R I O L UŞT U R A B İ L E C E K

– C H R I S E VA N S , E X - G O O G L E

“It’s a hard measurement to take, but we’re seeing a fairly sustained

drop-off in the number of incoming reports we’re receiving

for the Chromium program”

W E C A N N O T S O LV E O U R P R O B L E M S W I T H T H E S A M E T H I N K I N G W E U S E D W H E N W E C R E AT E D T H E M .

ALBERT E INSTE IN

K A P S A M V E K U R A L L A R I N I İY İ B E L İR L E

R A P O R L A R I N S İZ E N A S I L G Ö N D E R İ L E C EĞ İN İN V E A R D I N D A N A L I N A C A K A K S İY O N L A R I N P L A N I N I YA P

Ö D Ü L V E R M E K M E C B U R İ D EĞ İ L D İR

A M A A R AŞT I R M A C I Y I D A H A Ç O K M O T İV E E D E R

A N C A K İ L K B AŞ L A R D A Ç O K FA Z L A R A P O R A L A C AĞ I N I Z İÇ İN D A H A D ÜŞÜ K M İK TA R D A Ö D Ü L V E R M E K YA D A EŞA N T İY O N V E R M E K D A H A Ç O K K U L L A N I L A N B İR Y O L D U R

N E K A D A R Ç O K G Ü V E N L İK Z A F İY E T İ O K A D A R Ç O K PA R A

N E K A D A R Ç O K D A H A İY İ Z A F İY E T D A H A Ç O K PA R A

N E K A D A R Ç O K S A D A K AT D A H A D A Ç O K PA R A

N E X T I A G R E E N E X T N E X T F I N I S H

T E B R İK L E R ! B AŞA R I L I B İR Ö D Ü L AV C I L IĞ I P R O G R A M I O L UŞT U R D U N U Z !

¯\_( )_/¯QA

– G Ö K M E N G Ü R EŞÇ İ

gokmen at gokmenguresci.com (PGP ve XMPP) PGP:4FE11601142AAE3DD90F0398D9ADC085519CE6C4

OTR:5AB42FB7A5946E98310907D6D7373BEBCDF74652

Twitter @GokmenGuresci

https://www.gokmenguresci.com