Haberler

Rusya’da beyaz şapkalı hackerlar ödüllendiriliyor

19 Kasım 2023
Rusya'da beyaz şapkalı hackerlar ödüllendiriliyor

Dijital Kalkınma Bakanlığı, beyaz şapkalı bilgisayar korsanlarının Gosuslugi ve diğer hükümet portallarındaki güvenlik açıklarını aramasına yönelik bir program olan Bug Bounty’nin ikinci aşamasını başlattı. Korumadaki “delikleri” keşfetmeleri için bilgisayar korsanlarına 30 bin ila 1 milyon ruble arasında ödeme yapılacak. Izvestia, “beyaz şapkalı” bilgisayar korsanlarının hükümet web sitelerinin korunmasını güçlendirmeye nasıl yardımcı olduğunu ve çalışmalarının ne gibi potansiyellere sahip olduğunu öğrendi.

Hackerları Ödüllendirmek

Bug Bounty programının ikinci aşaması resmi olarak başlatıldı duyuruldu Dijital Kalkınma Bakanlığı’nın web sitesinde. Mesajdan şu şekilde; Programın yeni aşaması önceki aşamada olduğu gibi üç ay değil, bir yıl sürecek. Ayrıca Bug Bounty tüm e-devlet sistemlerine yaygınlaştırıldı.

Fotoğraf: IZVESTIA/Alexey Mayshev

Güvenlik açıkları yalnızca Gosuslugi portalında ve birleşik tanımlama ve kimlik doğrulama sisteminde (USIA) değil, aynı zamanda birleşik biyometrik sistem, geri bildirim platformu ve departmanlar arası elektronik etkileşim sisteminde de aranabilmektedir. Ek olarak, güvenlik açıklarının araştırılması ulusal veri yönetimi sisteminde, devlet kamu hizmetinin personel yönetimine yönelik birleşik bilgi sisteminde, ana sertifika merkezinde ve birleşik düzenleyici referans bilgi sisteminde mevcuttur.

Ödülün miktarı, tespit edilen “deliğin” tehlike derecesine bağlı olacaktır: Düşük seviyenin 30 bin rubleye kadar, orta seviyenin 100 bin rubleye kadar, yüksek seviyenin 300 bin rubleye kadar ve kritik seviyenin 1 milyon rubleye kadar olduğu tahmin ediliyor. Şubat ayından Mayıs 2023’e kadar gerçekleştirilen Bug Bounty’nin ilk aşamasında beyaz şapkalı bilgisayar korsanları, halihazırda düzeltilmiş olan 37 güvenlik açığını tespit etti. Dijital Kalkınma Bakanlığı, toplam ücret miktarının 1,95 milyon ruble olduğunu belirtti.

Beyaz şapkalı hackerlar kimlerdir?

Güvenlik Kodu şirketinin ticari direktörü Fyodor Dbar’ın Izvestia’ya açıkladığı gibi, tüm hacker topluluğu “siyah” ve “beyaz” olarak ikiye ayrılabilir. Birincisi, yeteneklerini para kazanmak veya holiganlık yapmak için kullananlardır. İkincisi, nesnelerin kendi güvenlik açıklarını görebilmesi ve bunları düzeltebilmesi için çeşitli ağları ve BT altyapısını hackleme sanatını uygulayan uzmanlardır.

– Yani Bir güvenlik açığı bulan “beyazlar” bundan yararlanmayacak, ancak ayrıntılı bir rapor hazırlayacak ve bunu uygun kuruluşa aktaracak. Ancak “siyahlar” sadece bilgi çalmakla kalmayacak, aynı zamanda bunun için maddi bir şeyler elde etmeye de çalışacaklar.diyor Dbar.

Bilgisayarda çalışan adam

Fotoğraf: RIA Novosti/Sergey Kuznetsov

Ona göre, etik hackerlar veya pentesterlar olarak da bilinen “beyaz hackerlar”, dünyada bilgisayarlar yaratılmaya başlandığı anda ortaya çıktı, çünkü hackleme direncinin test edilmesi, güvenlik düzeyini değerlendirmenin ana yöntemlerinden biridir. Dürüst hırsızlar ilk kez 1980’lerde Savunma Bakanlığı’nın görev yaptığı dönemde yaygın olarak tanındı. Amerika Birleşik Devletleri tesislerinin BT altyapılarının test edilmesine bilgisayar korsanlarını dahil etmeye başladı.

Zamanla, sızma testi “güvenliğin” ayrılmaz bir parçası haline geldi ve özel şirketler ve devlet kurumları, ya etik hackerları işe alarak BT altyapılarını hacklemelerine izin verdikleri ya da genellikle ağlayarak kendi Bug Bounty programlarını düzenlemeye başladılar. İnternet ve kritik güvenlik açıklarını bulan herkese parasal ödüller teklif etti.

Fedor Dbar, “Rusya için bu nispeten genç bir alan, ancak son zamanlarda Yandex veya Rostelecom gibi büyük şirketler düzenli olarak Bug Bounty programları ve pentest şampiyonaları düzenliyor” diye belirtiyor.

Bilgisayar korsanlarının yasallaştırılması

Güvenlik açıklarını arayarak para kazanmak isteyen etik bilgisayar korsanlarına yönelik bir yarışma olan Bug Bounty kavramının kendisi, Dijital Kalkınma Bakanlığı tarafından 2022 yazında mevcut mevzuata dahil edilmesi önerildi. Bakanlığın hazırladığı tasarıda, konuşma Rusya Federasyonu Ceza Kanunu’nun 272. Maddesinin (“Bilgisayar bilgilerine yasa dışı erişim”) değiştirilmesiyle ilgiliydi.

Ancak daha sonra, hukuki ve cezai davalar arasındaki çizginin istikrarsız olduğunu düşünen bazı departmanların konumu nedeniyle projenin ilerleyişi karmaşıktı. Bir yıl sonra, geçen Haziran ayında konuya geri Zaten Federasyon Konseyi’ne bağlı Dijital Ekonomiyi Geliştirme Konseyi, tasarı üzerindeki çalışmaların hızlandırılması çağrısında bulundu. Konseyin başkan yardımcısı Artem Sheikin’e göre bu, “yasal sonuçlardan korkan araştırmacıları harekete geçirmeye” olanak tanıyacak.

Devlet Duması

Fotoğraf: IZVESTIA/Kristina Kormilitsyna

Ve Ekim ayında Devlet Duma Bilgi Politikası Komitesi üyesi Anton Nemkin, iyi niyetli bilgisayar korsanlarını yasallaştırmayı amaçlayan bir yasa tasarısı paketi geliştirdi. Rusya Federasyonu Ceza Kanunu’nda, Rusya Federasyonu Medeni Kanunu’nda (Medeni Kanun) ve “Bilgi, Bilgi Teknolojileri ve Bilginin Korunması Hakkında” federal yasada değişiklik yapılmasını önerdiler.

Nemkin’in açıkladığı gibi, Rusya Federasyonu Ceza Kanunu’nda yapılması önerilen değişiklikler, bilişim kanununun gereklerine uygun olarak bilgi sistemlerinin güvenliğini test edenlerin adalet önüne çıkarılması riskini ortadan kaldırmayı amaçlıyor. Buna karşılık, Rusya Federasyonu Medeni Kanunu’nda yapılan değişikliklerin, bariz hataları düzeltmek amacıyla güvenlik açıklarını belirlemek amacıyla programların işleyişini inceleme, araştırma veya test etme olasılığını içermesi gerekirdi.

“Üçüncü girişim, bilgi yasasında değişiklikler getiriyor; değişiklikler, bilgi sahibinin, bilgi sistemleri operatörünün, (…) bilgi sistemlerinin güvenlik açıklarını belirlemek için önlemler alma becerisini pekiştirmeyi öneriyor; çalışanı olmayan kişilerin katılımı,” diye belirtti milletvekili.

Sunucular

Fotoğraf: IZVESTIA/Anna Selina

Bu nedenle Nemkin’e göre yenilik, “telif hakkı sahiplerinin ve ilgili programın izni olmadan, herhangi bir biçimde güvenlik açığı analizine olanak tanıyacak.” Ve kendileri Normlar “güvenlik sistemindeki saldırganlar tarafından kullanılabilecek zayıflıkları tespit etmeye yönelik önlemlerin uygulanmasına yönelik bir mekanizmanın güçlendirilmesini mümkün kılacak ve bu da olası tehditlere zamanında yanıt verilmesine olanak tanıyacak.”

Kasım ayında Stratejik Araştırma Merkezi (CSR), “beyaz şapkalı” bilgisayar korsanlarının yasallaştırılmasına ilişkin yasa tasarıları hakkında bir tartışma düzenledi. Fikri genel olarak destekleyen ve iyileştirilmesine yönelik önerilerini paylaşan bilgisayar korsanlarının kendileri de oradaydı.

İşin iyi tarafı

Anton Nemkin’in Izvestia ile yaptığı görüşmede söylediği gibi: Bugün Rusya’da, “beyaz” bilgisayar korsanlarının bariz faydalarına rağmen, mevzuat açısından savunmasız bir konumda oldukları bir durum var. Milletvekiline göre bu çok garip çünkü dijital devreyi koruma çalışması proaktif olmalı ve sistemdeki belirli hataları proaktif olarak gösterebilen uzmanlar bu konuda yardımcı olabilir.

Muhatap, “Bu, vatandaşlarımızın büyük miktardaki kişisel verilerinin korunmasının yanı sıra eşi benzeri görülmemiş ölçekte ve agresif dış saldırı koşullarında kilit hükümet sistemlerine ve hizmetlerine erişim söz konusu olduğunda özellikle önemlidir” diye belirtiyor.

Milletvekili, sistemlerin güvenlik açığının “beyaz şapkalı” bilgisayar korsanları tarafından denetlenmesinin yalnızca sistematik değil aynı zamanda sürekli olması gerektiğine inanıyor. Önerilen yasa tasarılarının da bu süreci kolaylaştırması ve yasal hale getirmesi gerekiyor. Nemkin’e göre FSTEC, Dijital Kalkınma Bakanlığı, Roskomnadzor, İçişleri Bakanlığı, FSB’nin yanı sıra VK, Tinkoff, Ozon ve diğer ilgili platformlar ve departmanlar bunlarla ilgili çalışmalara katılıyor. Şu anda en çok soruyu Rusya Federasyonu Ceza Kanunu’nda değişiklik öneren yasa tasarısı gündeme getiriyor.

Dizüstü bilgisayarlarda çalışan kızlar

Fotoğraf: IZVESTIA/Sergey Lantyukhov

Nemkin, “beyaz” bilgisayar korsanlarının Rusya’daki faaliyetlerinin yasallaştırılmasının içerebileceği risklere gelince, bu konunun da araştırıldığını söylüyor. Temel sorun, etik hackerların elde edeceği fırsatların etik olmayan hackerlar tarafından değerlendirilip değerlendirilmeyeceğidir.

Bilgisayar korsanlarına kesinlikle serbestlik tanımadığımızı, onların faaliyetlerinin de yetkili kurumlar tarafından yakından takip edileceğini, herhangi bir ciddi ihlalin sorumluluk doğuracağını anlamalısınız.Milletvekili şunu vurguluyor: “Görevimiz bu sorumluluğun makul olmayan bir şekilde ortaya çıkmamasını sağlamaktır.”

Anton Nemkin’e göre bugün, diğer şeylerin yanı sıra, “beyaz” bilgisayar korsanlarının şirketlerle etkileşimini mümkün olduğunca basitleştirebilecek bir platformun oluşturulması tartışılıyor. Böyle bir sistem, bilgisayar korsanlarını doğrulayabilir, güvenilirliklerini belirleyebilir ve daha sonra güvenlik açıklarını yayınlamalarına olanak sağlayabilir. Uygun bildirimleri alan şirketler, mesajların ayrıntılarını açıklığa kavuşturmak veya yazarlarına teşekkür etmek için bilgisayar korsanlarıyla iletişime geçebilir.

Hırsızlara talep

Synergy Üniversitesi Bilgi Teknolojileri Fakültesi Matematik Bölümü başkanı Zhanna Meksheneva’ya göre, Rusya’da “beyaz şapkalı” bilgisayar korsanlarının hizmetleri çoğunlukla işletmeler tarafından sipariş ediliyor. Aynı zamanda günümüzde devlet kurumları ve devlete ait şirketler arasında dürüst hırsızlara olan ilgide gözle görülür bir artış var.

“Bu, jeopolitik durum nedeniyle geçtiğimiz yıl yerli şirketlerin BT altyapısına yönelik siber saldırıların sayısının artmasıyla açıklanıyor. Bilgi sistemlerinizin ve veritabanlarınızın bilgi güvenliğini korumak gerekiyor” diye belirtiyor.

Fedor Dbar’ın dediği gibi: Eğer “yasallaştırılmışlarsa”, “beyaz şapkalı” hackerlar herhangi bir çalışma veya yetki belgesi alamayacaklar. Mesele şu ki, Federal Teknik ve İhracat Kontrolü Servisi (FSTEC), yazılım geliştirme güvenliği gereksinimlerinin bir parçası olarak, harici bir denetim ihtiyacını belirtiyor.

Bilgisayarda çalışmak

Fotoğraf: IZVESTIA/Alexey Mayshev

İzvestia’nın muhatabı, “Bu aynı zamanda yazılımın saldırılara karşı ne kadar korunduğunu anlamak için gerekli olan bilgisayar korsanlarının işidir” diyor. “Dolayısıyla Dijital Kalkınma Bakanlığı, Bug Bounty programını uygulama kararıyla trendleri takip ediyor ve kaynaklarının güvenliğini artırma konusunda ilerici bir yaklaşım gösteriyor.

Izvestia’nın görüştüğü uzmanlara göre bilgisayar korsanlarını “yasallaştırma” fikri olumlu değişiklikler getirecek: Gerçek şu ki sistem içindeki çalışanlar bunu %100 objektif olarak değerlendiremiyor. Bir geliştirici, ürününün tüm nüanslarını bilse bile, yine de özel insanlara, yani darboğazları yeni bir görünümle fark edecek test uzmanlarına ihtiyacı vardır. Ancak bu tür uzmanlar genellikle yetersiz olduğundan, ürünü bağımsız uzmanlara sunmak önemlidir.

— Uygulamada bu, güvenlik seviyesinin arttırılması açısından iyi sonuçlar doğurmaktadır. Film endüstrisinde de benzer bir hikaye var: Fedor Dbar, bir filmin çekimleri sırasında özel kişilerin potansiyel ticari çekiciliğini değerlendirdiğini ve ardından nihai bir özet oluşturmak için odak grupları oluşturulduğunu söylüyor.

Hacker

Fotoğraf: IZVESTIA/Anna Selina

Aynı zamanda uzman şunu düşünüyor: fikir ciddi riskler taşıyor. Bunlardan en bariz olanı, ürüne ve altyapıya erişim sağlayan (ve hiçbir ceza almadan) bilgisayar korsanlarının “beyaz” rengi “siyah” olarak değiştirebilmesidir. Veya daha etkili bir saldırı vektörü oluşturmak için sızma testi sırasında edinilen bilgileri kullanın. Ancak uygulamanın gösterdiği gibi, bu tür durumlar nadirdir.

— Riskleri azaltmanın ana yolu, herhangi bir bilgiyi alan bilgisayar korsanlarının anonim olmamasını ve ayrıca onlara yasal baskı uygulanabilmesini sağlayacak anlaşmalar yapmaktır. Bilgisayar korsanlarının pentest için Gosuslugi’de bir hesaba ihtiyaç duyması şaşırtıcı olmazdı. Güvenlik Kodu uzmanı, böylece birisi saldırı altındaki sisteme zarar vermek isterse onu kontrol etmenin daha kolay olacağını belirtiyor.

Buna ek olarak, Angara Security’de güvenlik analizi başkanı Roman Prosvetov, düzenleyicilerin, işletmelerin ve bilgi güvenliği pazarının, yasallaştırmadan yararlanabilecek gerçek anlamda dürüst bilgisayar korsanlarının ve suçluların çalışmalarını ayırt edebilecekleri ortak kriterleri formüle etmeleri gerektiğini ekliyor. Bugün, güvenlik analizi alanında bile, “girdideki” uzmanlık düzeyinin ve hizmetlerin kalitesinin değerlendirilmesine olanak sağlayacak formüle edilmiş bir kriter bulunmamaktadır ve bu, bilgi güvenliği şirketlerinin genel denetim düzeyini etkilemektedir.

Haber Azerbaycan

19 Kasım 2023
admin fotoğrafı

admin

İlgili Makaleler

Taslak barış anlaşması müzakerelerinin ikinci günü başladı (FOTO)

Taslak barış anlaşması müzakerelerinin ikinci günü başladı (FOTO)

29 Şubat 2024
Rusya, bazı Kıbrıslı yetkililerin ülkeye girişini yasakladı

Rusya, bazı Kıbrıslı yetkililerin ülkeye girişini yasakladı

18 Ocak 2024

Ukrayna Silahlı Kuvvetleri, düşman uçaklarının ateşi altında Rusların Avdiivka yakınlarındaki saldırılarını başarıyla püskürttü. İşgalciler Rovnopol yakınlarında başarısız bir şekilde saldırdı – Genelkurmay

24 Temmuz 2023
Ford Avrupa'da 4 bin kişiyi işten çıkaracak

Ford Avrupa’da 4 bin kişiyi işten çıkaracak

21 Kasım 2024

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

© Telif Hakkı 2024, Tüm Hakları Saklıdır  | Site yapımı - Emblem.az
Başa dön tuşu