Yılın kadeh kaldırmaları, zaferleri ve en büyük güvenlik zaferleri
2022 sona ererken, günlük yudum yılın en dikkate değer web güvenliği kazanımlarından bazılarını ve ciddi bilgi güvenliği başarısızlıklarını yeniden gözden geçiriyor.
Dün yılın en büyük başarısızlıklarını sergiledik – güvenlik felaketleri, endüstri felaketleri ve gözlerinizi devirecek kadar aptalca güvenlik açıklarının ortaya çıkışı.
Bugün, kuruluşların, hükümetlerin ve bilgi güvenliği topluluğunun 2022’de siber alanı daha iyi güvence altına almak için takdire şayan beceri, muhakeme ve bağlılık gösterdiği zamanları kutluyoruz.
CCFA değişiklikleri
Bu yıl, etik bilgisayar korsanlığının haksız yasal sonuçlardan korunmasında büyük ilerleme kaydedildi. Dünya çapındaki mevcut yasalar, genellikle, güvenlik araştırmacılarının kullanıcılara zarar vermekten çok onları korumaya yönelik kovuşturmalara olanak tanıyarak etik korsanlar için işlerini yaparken riskler oluşturur.
ABD’de Adalet Bakanlığı (DoJ), bilgisayar suçları yasalarıyla ilgili politikasında önemli bir revizyon kapsamında “iyi niyetle” hareket eden güvenlik araştırmacılarını artık yargılamayacağını duyurdu.
Mayıs ayında açıklanan değişiklik, Bilgisayar Dolandırıcılığı ve Kötüye Kullanım Yasası (CFAA) kapsamında kovuşturma kriterlerinde yapılan değişiklikleri ortaya koydu.
Bu durumda iyi niyet, bir kişinin bir bilgisayara yalnızca iyi niyetle test etme, araştırma veya bir güvenlik açığını veya güvenlik açığını düzeltme amacıyla erişmesi anlamına gelir.
İLİŞKİLİ Aptal güvenlik 2022 – bu yılki bilgi güvenliği başarısız oluyor
Birleşik Krallık etik korsanlarını suç olmaktan çıkarmak
Havuzun karşısında, Birleşik Krallık yasa koyucuları Haziran ayında Ürün Güvenliği ve Telekomünikasyon Altyapısı (PSTI) yasa tasarısında siber güvenlik uzmanlarına Bilgisayar Kötüye Kullanım Yasası (CMA) kapsamındaki faaliyetleri için yasal bir savunma sağlayacak bir değişiklik önerdiler.
Eleştirmenler, 1990 yılında yürürlüğe giren yasanın eski olduğunu ve güvenlik açıklarını sorumlu bir şekilde arayan veya rapor eden güvenlik araştırmacılarını, etik korsanları ve kalem testçilerini gereksiz yere kovuşturduğunu iddia ediyor.
Kampanyacılar, sorumlu güvenlik açığı araştırması ve ifşası, orantılı tehdit istihbaratı, en iyi uygulama internet taraması, numaralandırma, açık dizin listelerinin kullanımı ve bal küplerini içerdiğini öne sürdükleri meşru bilgisayar korsanlığı faaliyetlerinin yasal olarak açıklığa kavuşturulması için çağrıda bulunmaya devam ediyor.
Birleşik Krallık hükümeti önerilen yasa değişiklikleriyle ilgili görüşmeleri sürdürüyor. Bilgilendirme çağrısı Eylül ayında kapatılmıştır.
Açıklamayı daha pürüzsüz hale getirme
Güvenlik araştırmacılarının güvenlik açığı açıklama sürecini daha sorunsuz hale getirmelerine yardımcı olma konusunda da ilerleme kaydedildi.
HackerOne, müşterileri, bilgisayar korsanlarını yasal sorunlardan korumak için daha da ileriye giden, Kasım ayında yayınlanan yeni standart politikasını benimsemeye teşvik etti.
HackerOne, Gold Standard Güvenli Liman anlaşması “kısa, geniş, kolay anlaşılır ve müşterilerin kolayca benimseyebileceği bir güvenli liman beyanıdır” dedi.
“Bu standardizasyon aynı zamanda bilgisayar korsanlarının çok sayıda farklı program ifadesini ayrıştırma yükünü de azaltıyor.”
En son bug bounty haberlerini takip edin
Bu arada, açık kaynak depolarının sahipleri, Kasım ayında GitHub Universe konferansında duyurulan Microsoft’un sahip olduğu yazılım geliştirme platformu GitHub aracılığıyla artık özel güvenlik açığı raporları alabilir, bunları düzeltebilir ve CVE’ler yayınlayabilir.
Haberler en az bir infosec uzmanı, güvenlik açığı araştırmacısı ve günlük yudum görüşmeci Alex Chapman buna “inanılmaz özellik”.
Ukrayna’nın savunmasında
Rusya’nın Ukrayna’yı işgali bu yıl manşetlere hakim oldu ve dünyanın dört bir yanından bireyler yardım etmek için adım attıkça bilgisayar korsanlığı topluluğu da aynı şeyi yaptı.
Mart ayında, Cenevre merkezli bir sivil toplum kuruluşu (NGO) olan Hackers Without Borders (HWB), dünya çapındaki çatışmalardan etkilenen diğer STK’lara ve kritik hizmet sağlayıcılara acil bilgi güvenliği yardımı sunmak üzere başlatıldı.
Gönüllü bilgisayar korsanları ve bilgi güvenliği uzmanlarından oluşan kuruluş, bireylere veya kuruluşlara siber saldırıların sonuçlarıyla başa çıkmalarına, onları daha fazla saldırıdan korumalarına ve siber dayanıklılıklarını güçlendirmelerine ücretsiz olarak yardımcı olur.
ile yapılan bir röportajda günlük yudumkurucu ortağı Florent Curtet şunları söyledi: “Kendilerini günümüzün dijital tehditlerinden koruyacak parası, becerisi veya bilgisi olmayan insanlar, şirketler ve kurumlar için itfaiyeciler gibi buradayız.”
Yine Ukrayna’yı savunmak için konuşan WithSecure’den Mikko Hyppönen, siber güvenlik şirketinin bu yılki ilk konferansına katılanlara, siber savaşı ateşleme çabalarında “Rusya deniyor, ancak büyük ölçüde başarısız oluyor” dedi.
Komşu Finlandiya’daki Sphere 2022’de konuşan Hyppönen, “Burada tavır almak gerçekten çok basit, gerçekten çok açık. Bence hepimiz Ukrayna’nın yanında olmayı seçiyoruz. Demokrasiden yana durmayı seçiyoruz ve kötülüğe karşı durmayı seçiyoruz.”
Hacker Yaz Kampına Geri Dön
Bu yıl, yüz yüze konferansların, özellikle önceki yıllarda koronavirüs pandemisi nedeniyle çevrimiçi olarak düzenlenen Black Hat’ın geri dönüşüne tanık oldu.
Mayıs ayında Singapur’daki Black Hat Asia katılımcıları, açılış konuşmacısı Samir Aran’ın “demokrasinin hayatta kalması için teknolojinin evcilleştirilmesi gerekecek” uyarısını duydu.
Ağustos ayında Las Vegas’ta düzenlenen Black Hat USA’da eski CISA direktörü Chris Krebs de jeopolitik gerilimler hakkında konuştu ve dünya çapındaki kuruluşları Tayvan gerilimleri arasında çevrimiçi altyapılarını güçlendirmeye çağırdı.
Ve Kasım ayında Londra’da düzenlenen Black Hat Europe’da, ünlü güvenlik araştırmacısı Daniel Cuthbert, katılımcılara savunulabilir bir internetin mümkün olduğunu söyledi – “ancak yalnızca sektörel makyajla”.
Konferanslar ayrıca topluluk tarafından topluluk için oluşturulan çeşitli bilgisayar korsanlığı araçlarının piyasaya sürüldüğüne de tanık oldu.
Açık kaynak ekosisteminin güvenliğini sağlama
Son olarak, açık kaynak tedarik zincirini güvence altına alma çabaları, başlatılan bir dizi yeni girişimle 2022 için hızlandırıldı.
Güvenli Açık Kaynak Ödülleri (SOS.dev) programı, açık kaynak teknolojisine dayalı kritik altyapıda iyileştirmeler yapan geliştiricileri ve güvenlik araştırmacılarını ödüllendirmek için kurulmuştur.
Program, “kritik açık kaynak projelerini güçlendirecek” ve araştırmacıları ve geliştiricileri güvenlik iyileştirmeleri önermeye teşvik ederek uygulama ve yazılım tedarik zinciri saldırılarına karşı korunmaya yardımcı olacak.
Ödüller, küçük iyileştirmeler için 505 ABD Doları ile “büyük güvenlik açıklarını neredeyse kesinlikle önleyen karmaşık, yüksek etkili ve kalıcı iyileştirmeler” için 10.000 ABD Doları veya daha fazla arasında değişmektedir.
Açık Kaynak Güvenlik Vakfı (OpenSSF), Microsoft ve Google’dan 5 milyon dolarlık bir yatırımla desteklenen, açık kaynak yazılım ekosisteminin güvenliğini artırmak için bir proje de başlattı.
Beyaz Saray’da düzenlenen bir zirve, 2021’deki Log4j olayının ardından, hükümetin yazılım tedarik zincirini daha iyi güvence altına alma planıyla sonuçlandı.
KAÇIRMAYIN Yalın, yeşil kodlama makinesi: Sürdürülebilir bilgi işlem sürücüsü saldırı yüzeylerini nasıl azaltabilir?