NCSC’nin VRS Yolculuğu
2018’den bu yana 844 bilgisayar korsanı NCSC’nin VRS’sine güvenlik açığı bildirdi. NCSC, kendilerini güvenlik açığı açıklamalarının örnekleri olarak göstermiş olan bilgisayar korsanlarından bazılarını sınırlı sayıda Challenge Coin almaya davet etti. Madeni paralar, NCSC’nin, bilgisayar korsanlarının Birleşik Krallık’ı siber tehditlerden korumaya yardımcı olan değerli çalışmaları için minnettarlığının ve takdirinin bir simgesidir. NCSC CTO’su Ollie Whitehouse ve Kabine Ofisi Siber Politika ve Yetenekler Direktör Yardımcısı Michael Brunton-Spall, madeni paraları sundu ve alıcılara kişisel olarak teşekkür etti.
Yarışma paraları, İngiliz bilgisayar tarihinde önemli bir kişiyi veya unsuru tasvir etmek için tasarlandı; Ada Lovelace, Alan Turing, Charles Babbage ve Bombe. NCSC’nin blogunda madeni paralar hakkında daha fazla bilgi edinin.
Bilgisayar Korsanlarını VRS En İyi Uygulaması Olarak Tanıma
Bilgisayar korsanının tanınması, güvenlik açığının ifşa edilmesinde en iyi uygulamanın önemli bir yönüdür. HackerOne’ın yıllık Hacker Destekli Güvenlik Raporu, bilgisayar korsanlarının parasal ödüllere ek olarak programları tanınma ve müşteri ekibiyle kurdukları ilişkiye göre seçtiklerini gösteriyor.
Katılan hackerlardan üçü, çalışmalarının tanınması ve meşrulaştırılması açısından önemli bir an olan etkinlik sırasında araştırmalarını sunma fırsatı buldu.
Güvenlik araştırmacısı Dejaun Barker, NCSC’yi hacklemeye yönelik hacker yolculuğunu anlatıyor:
“Yaklaşık 16 yaşımdan beri bilgisayar korsanlığı yapıyorum; kardeşlerime kimlik avı yapmaktan, bilgisayar korsanlarının kapıyı çalmadan güvenlik açıklarını bulmalarına yardımcı olabileceği hata ödül platformları bulmaya kadar her şeyi yapıyorum! Bu, kamu sektöründeki günlük işimin yanı sıra beni NCSC VRS’ye yönlendirdi. Birleşik Krallık Hükümeti varlıklarının iş dışında korunmasına yardım etmeseydim haksızlık yapmış olurdum.
Etik bilgisayar korsanları ve güvenlik araştırmacıları, sistemlerdeki güvenlik açıklarını ve kusurları aramak için ortalama bir kullanıcının sahip olmadığı inanılmaz miktarda beceriye, uzmanlığa ve bilgiye sahiptir. Güvenlik açıklarını bildirmek için yalnızca sistemlerinizin ve uygulamalarınızın günlük kullanıcılarına güvenirseniz, bu kullanıcılar kritik zayıflıkları tespit edecek kadar becerikli olacak mı?
NCSC Genel Merkezine davet edilmek ve yaptığım tüm işleri ‘kurgu’dan neredeyse ‘gerçeğe’ dönüştürmek benim için bir onur ve büyük bir başarı. Madalya yeterince büyük bir başarı değilse bile, sunum yapmak kesinlikle öyleydi! Bulgularımı, çalışma saatlerimi ve benzer düşüncelere sahip bireylere ve sektör uzmanlarına olan bağlılığımı sergilemek asla unutamayacağım bir şeydi. Sonsuza dek onur duyacağım ve Birleşik Krallık Hükümeti’nin güvenliğini sağlamak için çabalarıma devam edeceğim.”
Güvenlik araştırmacısı ve Inquirix’in kurucusu Abi Waddell, tanınmanın kendisi için neden önemli olduğunu şöyle anlatıyor:
“Güvenlik testi, diğer benzer denetim ve ‘sorun bulma’ işleri gibi büyük ölçüde nankördür çünkü insanlar her zaman sistemlerindeki kusurları keşfetmeye istekli değildir. Basit bir ‘teşekkür’ uzun bir yol kat eder – parasal ödüllerden bile daha fazla – ve bu etkinlik bu daha geniş takdiri gösterdi. Bunun gibi etkinlikler, diğer kuruluşlara, güvenlik araştırma topluluğundan gelen girdileri memnuniyetle karşılamanın teşvik edilmesi gerektiğine dair güvence verilmesine katkıda bulunur. Bu programda önemli güvenlik açıkları bulunmaya devam edecek, ancak rapor edilmeyecek veya uygun kanallar aracılığıyla rapor edilmeyecektir.”
Dünyanın en iyi etik hackerlarından biri de topluluğunun korunmasına yardımcı olma motivasyonuyla NCSC programında zaman geçirdi. Sean Roesner, NCSC için böcek aramak amacıyla ödülleri hacklemeye neden zaman ayırdığını anlatıyor:
“GOV.UK’a girebileceğimi gördüğümde internette hangi varlıkların bulunduğunu gerçekten merak ettim ve bir .gov.uk sitesini etkileyen bir güvenlik açığını tespit etme konusunda kendimi zorladım. Kullanıcı girişinin sterilize edilmemesi ve özel XSS filtreleri oluşturulması gibi kolayca düzeltilebilecek bazı hatalar keşfetmeyi başardım. Hükümetlerin etik hackerlarla işbirliği yapmasının önemli olduğuna inanıyorum çünkü dünyanın her yerinde onlara varlıklarını güvence altına almaya yardımcı olacak yetenekler mevcut. NCSC, etik bilgisayar korsanlarıyla çalışarak, istedikleri sonuçları üretebilecek bu bilgisayar korsanları topluluğuna “bağlantı kurabiliyor”. Pek çok bilgisayar korsanı, hükümetlerinin güvenliğinin sağlanmasına yardımcı olmaktan da gurur duyuyor.”
Daha fazla bilgi için NCSC’nin etkinlikle ilgili yazısını okuyun.