Bir hata bulan Teknik Olarak Yetenekli bir kişi etik bir kararla karşı karşıyadır: hatayı bildirmek veya bundan kâr sağlamak.
Bu durum kripto para dünyasında daha da önemli hale geliyor.
Bu makalede, Resonance Security’den Ilan Abitbol’un yardımıyla Kraken ile CertiK arasındaki son fiyaskoyu ele alacağım ve bunu genel olarak bilgisayar endüstrisinde ve özel olarak kripto para endüstrisinde zaman içinde ortaya çıkan hata ödülleriyle ilgili bazı sorunları tartışmak için kullanacağım.
Böcek
9 Haziran 2024’te bir CertiK güvenlik araştırmacısı, kripto borsası Kraken’e bir hata bulduklarını bildirdi. Önemli bir hata — akıllı bir sözleşmedeki yeniden giriş açığına eşdeğer, ancak bunun yerine borsanın web arayüzünde.
Yeniden giriş hataları, nakit veya kripto para çekebileceğiniz ve ardından çekimin değeri bakiyenizden düşülmeden önce sistemi kesintiye uğratabileceğiniz istismarlardır. Veya tam tersi — bir para yatırma işlemi başlatın, sistemdeki bakiyenizin artmasını bekleyin ve para yatırma işlemi tamamlanmadan önce sonlandırın.
Bunu, bir ATM’den 400 dolar çekip, daha sonra merkez ofise bu miktarın hesap bakiyenizi azaltacağı yönünde bir rapor gelmeden önce ATM’yi kapatmak gibi düşünebilirsiniz.
ATM’yi tekrar açın ve hesabınızdaki bakiye azalmadan tüm para ATM’den çekilene kadar işlemi tekrarlayabilirsiniz.
Bu yüzden yetenekli akıllı sözleşme programcıları kodlarında “kontroller-etkiler-etkileşimler” modelini kullanırlar:
- Müşterinin çekim tutarını karşılayacak kadar yüksek bir bakiyeye sahip olduğunu kontrol edin (çek),
- Bakiyeyi çekilen miktar kadar azalt (etki),
- ancak ve ancak o zaman müşteriye çekim tutarını gönderin (etkileşim).
Veya ATM’ler için, merkez ofisten bakiyenin azaltıldığına dair onay alana kadar nakit ödeme yapmayın.
Son CertiK/Kraken olayıyla ilgili tweet’lerden ve makalelerden anladığım kadarıyla, bir güvenlik araştırmacısı Kraken’a para yatırmanın, paraları hesaptan çekmenin ve daha sonra para yatırma işlemi tamamlanmadan önce iptal etmenin bir yolunu bulmuş; tıpkı verdiğim ATM örneğine çok benziyor.
Kanun
Şirket yönetiminin onayıyla güvenlik uzmanlarının kurumsal bir sisteme girmeye çalıştığı bir “Kırmızı Takım” test çalışması kapsamında sözleşmeli olarak işe alındıysanız, içinde bulunduğunuz yasal durum açıktır.
Her yargı alanının çıkardığı bilgisayar kötüye kullanımına karşı çeşitli yasalar uyarınca kovuşturulamazsınız çünkü erişim açıkça verilmiştir. Yaptığınız şeyi yapmaya yetkilisiniz.
Öte yandan, eğer bir başkasının bilgisayarına girip hasara yol açan, verileri silen veya veri ve dijital varlıkları çıkaran bilinmeyen bir kişiyseniz, o zaman açıkça yanlış yapıyorsunuz demektir. Yaptığınız şey suçtur ve yakalanırsanız cezalar ağır olabilir. Bazı durumlarda, yıllar veya on yıllar süren hapis cezasından bahsediyoruz.
“Beyaz şapkalı hacker olmak bir statüden çok bir zihniyet meselesidir.“
Gri alanlarda bir sorun ortaya çıkıyor, çünkü “beyaz şapkalı” bir hacker olmanın ne olduğu konusunda resmi bir tanım yok. Ya bir bilgisayar sistemine meşru bir şekilde genel bir arayüz kullanma sürecinde, olması gerekenden daha fazlasına erişmenize izin veren bir hata bulursanız? Bilgisayar kötüye kullanımının önlenmesine ilişkin standart mevzuat uyarınca hataya “dürtmek” bile yasayı çiğnediğiniz anlamına gelir.
Örneğin, Nisan 2024’te Malta Üniversitesi’nden dört kişilik bir öğrenci grubu, FreeHour adlı öğrencilere yönelik bir uygulamada, sistem yöneticisiymiş gibi öğrenci kayıtlarına erişmelerine olanak tanıyan bir güvenlik açığı buldu.
Hatayı bildirdiler (temel veritabanındaki bir yapılandırma sorunu), hatayı düzeltmesi için FreeHour’a üç ay süre vererek kamuoyuna duyurmadan önce her zamanki beyaz şapkalı hacker kuralını uyguladılar ve buldukları hata için ödül verip veremeyeceklerini sordular.
FreeHour, GDPR mevzuatına uymak amacıyla bunu yetkililere bildirdiklerini iddia ediyor.
Polis, öğrencileri tutuklayarak, karakolda üzerlerini arayarak ve bilgisayar ekipmanlarına el koyarak karşılık verdi. Malta yasalarına göre, uygun yetkilendirme olmadan bir bilgisayar uygulamasına erişim yasadışıdır.
Öğrenciler iyi niyetle hareket ettiklerini belirttiler ve bence muhtemelen öyleydiler. Sonuçta, herhangi bir talepte bulunmadılar veya FreeHour’ı fidye için tutmaya çalışmadılar.
Şirket düzenleyici gereklilikleri takip ettiklerini söylüyor. Malta polisinden bir yanıt bulamadım, ancak baskıya uğrarsam yalnızca yasayı uyguladıklarını iddia edeceklerinden eminim.
Sonuç olarak, bu dört öğrenci muhtemelen bir daha hiçbir şirkete veya hükümete hata bildirmeyecek.
CertiK ve Kraken’e geri dönelim; kripto para borsası, denetim şirketine “beyaz şapkalı” bir bilgisayar korsanlığı faaliyeti kapsamında yaklaşık 3 milyon dolar değerinde kripto para çekme izni vermedi.
Bu makale üzerinde çalışırken Ilan bana şöyle dedi: “Beyaz şapkalı hacker olmak bir statüden çok bir zihniyet meselesidir.”
Hata ödülleri
Açıkça, ağ bilgisayarlarının güvenlik açıkları olacak. Faydacı bir bakış açısından, yapmak istediğimiz şey, insanları sorumlu vatandaşlar olarak hareket etmeye ve bu güvenlik açıklarını görmezden gelmek veya daha kötüsü, suç teşkil edecek şekilde istismar etmek yerine, bildirmeye teşvik etmektir.
Sektörün çözümü ise hata ödülüdür: Bağımsız bilgisayar uzmanlarının keşiflerinden kar elde etmesinin meşru bir yolu.
Şirketler, beyaz şapkalı hacker’lar için bir dizi gereklilik ve kural sunar ve siz bunlara harfiyen uyarsanız, şirket sizi dava etmeyeceğini, hatta ortaya çıkardığınız riskle orantılı bir oranda çabalarınız için size nakit ödül bile verebileceğini söyler.
Hata ödülleriyle ilgili birkaç sorun var:
- Ödül programı için belirlenen (genellikle çok sayıda) kurallardan birini yanlışlıkla ihlal ederseniz ne olur?
- Alacağınız ödül gerçekten de bunu bildirerek şirketin zarar görmesini önlediğinizle orantılı olacak mı? Bir tane bile alacak mısınız?
- Beyaz şapkalı hacker ile şirket arasında açık bir sözleşme bulunmadığına göre, tüm hata ödülü kurallarına uymuş olmanıza rağmen yetkililerin sizi dava edip hapse atmaya karar verebilmesi ne olacak?
Kraken’ın bir hata ödülü politikası vardır. Bu politikanın söylediği şeylerden biri, beyaz şapkalı bir hacker olarak kabul edilmeniz için hata ödülü başvurunuzun “asla tehdit veya gasp girişimleri içermemesi” gerektiğidir. Çıkardıkları fonları rehin tutarak, CertiK’in tam olarak buna giriştiği iddia edilebilir.
Ödüller
Kripto para alanında bazı ekstra sorunlar vardır. Bir şirketi verilerini şifreleyerek fidye için tutmak veya sızdırılmış bir veritabanını karaborsada satmak çok fazla çaba ve risk içerir. Bir alıcı bulmanız gerekir ve alıcınız bir suçlu olduğu için ödeme alamayabilirsiniz veya hatta ödeme yapmadan daha fazla hackleme yapmaya şantajla karşı karşıya kalabilirsiniz.
Öte yandan, akıllı bir sözleşmede veya bir borsa web sitesinde bir kusur bulursanız, LinkedIn’deki Rus mafyasına bağlanmadan para kazanabilirsiniz. Token karıştırıcılar ve müşterinizi tanıyın protokollerinde gevşek davranan borsalar vardır ve bu nedenle biraz araştırma yaparak anonim olarak para kazanabilirsiniz.
Tüm bir kripto para borsasının dijital varlıklarını boşaltmanın bir yolunu bulursanız, bu bazı insanlar için çok cazip olabilir. Özellikle, örneğin Kraken hata ödülünün maksimum ödemesi 1,5 milyon dolar ve gerçekte ödenen en yüksek miktar 60 bin dolar gibi görünüyor.[5].
Geçici yüzde onluk ödül
Rahatsız edici bir gelişme, fidye tabanlı hata ödüllerinin ortaya çıkması oldu. Bilgisayar korsanı büyük bir meblağ çalıyor ve daha sonra hiçbir sonuç olmayacağı vaadi karşılığında bunun önemli bir kısmını (genellikle %90) iade etmek için pazarlık ediyor.
Bu, DeFi protokol şirketleri açısından çok cazip bir yanıt haline geldi. Tüm likiditeniz eksikse, oyun biter. Çoğu iade edilirse, işler neredeyse her zamanki gibi devam eder. Bir veya iki yıllık kar kaybı, dükkanı kapatmaktan daha iyidir.
Ne yazık ki bu korkunç bir emsal teşkil ediyor. Bir şirket veya protokolün maksimum ödülü 1,5 milyon dolarsa ve 150 milyon dolar çalıp %90’ını iade etmek, varsayılan en yüksek ödülden on kat daha yüksek bir ödülle sonuçlanırsa, bu durum önemli sayıda beyaz şapkalı hacker’ı o gri alana itecektir.
Sonuçlar
İronik olarak, hata ödülleri ve kripto para alanı, bir şekilde hata ödülü sistemini takip etmenin risklerinin daha yüksek ve karanlık tarafa geçmekten elde edilen ödüllerin daha düşük olduğu bir durum yaratmayı başardı.
Şirketlerin şunları yapması gerektiğini savunuyorum:
- iyi hazırlanmış ve cömert bir hata ödülü planı oluşturun ve
- buna sıkı sıkıya bağlı kalın.
Pratikte bunun gerçekleşeceğini sanmıyorum.
Ancak kesin olan bir şey var ki, içinde bulunduğumuz kripto çağında hata ödüllerinin ciddi bir şekilde yeniden düşünülmesi gerekiyor.