Bu yardımda net güvenlik görüşmesinde, Immunefi’deki güvenlik başkanı Gonçalo Magalhães, sınır ötesi siber olaylarda hacklemenin yasal ve etik sonuçlarını tartışıyor. Yetkili, saldırgan siber eylemlerin uluslararası hukuku ihlal etme, çatışmaları artırma ve masum üçüncü partilere zarar verme riskiyle karşı karşıya olduğu konusunda uyarıyor. Bunun yerine, Magalhães, tehlikeli çizgileri geçmeden güvenliği güçlendirmek için hata ödül programları gibi yasal olarak yaptırımlı çerçeveleri savunuyor.
Uluslararası yasalar, özellikle düşmanca veya işbirlikçi olmayan yargı bölgelerindeki aktörleri içeren sınır ötesi olaylarda, hackleme kullanımını nasıl karmaşıklaştırıyor?
Asıl mesele, siber operasyonların sınırlara saygı göstermemesi, ancak yasaların kesinlikle var olmasıdır. Bir şirket Rusya, Çin veya Kuzey Kore’deki sunuculardan hedeflendiklerini keşfederse, teknik olarak izleyebilir ve saldırıyı yanıtlayabilirler, ancak bunu yapmak o ulusun egemenliğini ve potansiyel olarak kendi ülkelerinin yasalarını ihlal edebilir.
ABD’de Bilgisayar Sahtekarlığı ve Kötüye Kullanım Yasası, savunma amaçlı bir istisna olmadan herhangi bir bilgisayara yetkilendirilmeden erişmeyi yasadışı hale getirir. Benzer yasalar küresel olarak mevcuttur. Bu, komut ve kontrol sunucusuna erişerek saldırganınızı bile tanımlamanın teknik olarak sizi bir suçlu haline getirebileceği anlamına gelir. Budapeşte Siber Sözleşmesi Sözleşmesi (68 ülke tarafından imzalanmıştır) bu kısıtlamaları uluslararası olarak pekiştirmektedir.
Bu nedenle, rahatsız edici topraklara geçmeden güvenliği artırmanın yasal olarak yaptırım yollarını sağlayan, bu güvenlik anlaşmazlıkları için, özellikle bu güvenlik anlaşmazlıkları için bir çözüm sistemi olan bir tahkim sistemine ek olarak, savunma güvenlik operasyonları için yasal çerçeveler oluşturmaya odaklanmak önemlidir.
Şirketlerin aktif savunma taktiklerine katılırken kullanmaya çalıştıkları yasal gri alanlar veya boşluklar var mı?
Siber alandaki ilişkilendirme inanılmaz derecede karmaşıktır, çünkü saldırganlar tehlikeye atılmış sistemler, VPN’ler ve sofistike gizleme teknikleri kullanırlar. Yüksek güvenle bile yanlış olabilirsiniz. Yasal gri alanlarda çalışmak yerine, şirketlerin güvenlik araştırmacılarının açıkça tanımlanmış parametreler içinde sistemleri test etmesine ve güvence altına almasına izin veren yasal olarak bağlayıcı anlaşmalar altında faaliyet göstermeleri gerekmektedir. Bu, mahkemede test edildiğinde var olmayan belirsizliklerden yararlanmaya çalışmaktan çok daha etkilidir.
Bir kuruluş saldırganı teknik olarak atfetebilse bile, hackleme ile ilgili temel etik kaygılar nelerdir?
Backing, masum üçüncü partilere ait tehlikeye atılmış altyapı kullanmayı, bu kurbanların sistemlerini hedeflemeyi ve potansiyel olarak masumlara verdiği orijinal saldırıdan daha fazla zarar vermeyi gerektirebilir. Sonra tırmanma sorunu var. Siber operasyonlar hızla kontrolden çıkabilir. Çalınan verileri kurtarma girişimi olarak başlayan şey, otomatik savunmaları tetikleyebilir, bağlı sistemlere yayılabilir veya daha yıkıcı bir karşı yanıt kışkırtabilir.
Ayrıca uyanık adalet endişesi de var. Özel kuruluşlar saldırgan bir eylemde bulunduğunda, aslında kendilerini yargıç, jüri ve cellat olarak atarlar. Bu, siber alanda kurmaya çalıştığımız hukukun üstünlüğü ve uluslararası normları zayıflatır. Herkes geri çekilirse, olabileceği bir dijital vahşi batı yaratırız. Böcek ödülleri çok daha iyi bir yaklaşımdır. Bu şekilde, kâr için güvenlik açıklarından kolayca yararlanabilen etik bilgisayar korsanları, bunları sorumlu bir şekilde ifşa etmeyi seçerler.
Aktif savunma, saldırgan siber operasyonlar ve misilleme arasında nasıl ayrım yapıyorsunuz? Etik ve operasyonel hat nerede?
Düzgün anlaşılan aktif savunma, gelişmiş izleme, balpotlar gibi aldatma teknolojileri ve tehditleri izole eden otomatik yanıt sistemleri gibi kendi ağ çevrenizde alınan önlemleri içerir. Bunlar savunmacıdır, çünkü tamamen sahip olduğunuz ve kontrol ettiğiniz sistemlerde çalışıyorlar.
Başkasının sistemine geçtiğiniz anda, kendi çalınan verilerinizi almak için bile, saldırgan bölgeye girdiniz. Niyetlerinizin savunmacı olması önemli değil; Eylemin kendisi rahatsız edici.
Misilleme daha da ileri gidiyor. Bir saldırıya yanıt olarak zarar vermekle ilgilidir. Bu, saldırganın altyapısını yok etmek, operasyonlarını ortaya çıkarmak veya karşı saldırı başlatıyor olabilir. Bu saf uyanıklıktır ve sorumlu siber güvenlik konusunda yeri yoktur.
Bir hack back, başka bir masum partinin sahip olduğu altyapıya zarar verirse (örneğin, saldırganlar tarafından kullanılan uzlaşmış bir sunucu) zarar verirse?
Yasal olarak, şimdi masum bir partiye karşı bir suç işlediniz. Bir saldırgan peşinde koşmanız önemli değil; Potansiyel olarak birden fazla yargı bölgesinde bilgisayar sahtekarlığı yasalarını ihlal ettiniz. Masum altyapı sahibi hem cezai şikayetleri hem de sivil davaları takip edebilir.
Kritik altyapıya zarar verirseniz, operasyonel aksamalar, kaybedilen gelir ve hatta yaşam kaybından sorumlu olabilirsiniz.
Ayrıca yükseliş riski de var. Bu “masum” altyapı bir devlet kuruluşuna, büyük bir şirkete ait olabilir veya kritik altyapı olarak kabul edilebilir. Hack’iniz, eyleminizi egemenliklerine saldırı olarak gören ulus devletlerden uluslararası olayları, düzenleyici baskıları veya misilleme saldırılarını tetikleyebilir.
Bu nedenle firmalar, güvenlik çabalarını yetkili, yapıcı faaliyetlere yönlendiren hata ödül programlarını ölçeklendirmek gibi, bu senaryoları tamamen önleyen çerçeveler altında çalışmaya odaklanmalıdır. Güvenlik araştırmacıları bu çerçevede çalıştıklarında, yasal olarak korunurlar, şirketler daha güçlü güvenlik sağlar ve masum üçüncü taraflar asla risk altına alınmaz. Modern altyapının tasarımlarını ve onu korumak zorunda olduğumuz ortak sorumluluğu tanıyan bir model.