Luta Security şirketinin kurucusu ve CEO’su Katie Moussouris, Mike Mimoso ile bu yılın başında gerçekleşen RSA Konferansı’nda yaptığı konuşmada, bug bounty programlarının nasıl yaygınlaştığını, Hack the Pentagon ve Hack the Army programlarının başarısını ve Wassenaar Arrangement’ı anlatıyor.
Bug Bounty programlarına başvurmadan önceki adımda insanlara yardım etmek için danışmanlık yapan Moussouris, bu bağlamda Savunma Bakanlığı ve Microsoft için çalışmış. Düşünülenin aksine son yedi yıl içinde siber güvenlik dünyasında adına sıkça rastladığımız Bug Bounty programları, pek çok insanı mühendislik kaynaklarını ellerinden alacağı düşüncesiyle korkutuyor. Git gide daha da popüler olan bug bounty, Moussouris’e göre belki artık eskisi kadar haber değeri taşımıyor, ama insanlar tarafından yeterince benimsenmiş de değil.
İlgili yazı>> Pastanın üzerindeki vişne: Bug Bounty
Bug Bounty bu kadar yaygınlaşsa da, pek çok şirket aslında yazılımlarında bu kadar çok bug olduğunu kabul etmiyor ve hali hazırda yazılmış olan programlarına yeniden kaynak aktarmamak amacıyla güvenlik için gerekli olan bakım masrafını harcamıyorlar. Moussouris bu durumu bir örnekle açıklıyor: “Eğer bir Amerikan vatandaşı olarak bir restoranda bahşiş bırakamıyorsanız, o restoranda yememeniz gerekir.”
Hack the Pentagon ve Hack the Army programlarının önemine de değinen Moussouris, Amerika tarihinde 35 yıl sonra ilk kez hackerların Savunma Bakanlığı’nın internet sitesindeki sorunları bulmaları için çağırılmasının önemine dikkat çekti. Aynı zamanda, dünyanın en büyük askeri kuruluşunun, tüm kaynaklarını siber güvenlik sorunlarına aktarsa bile hackerların yardımına ihtiyaç duyacağını kabul etmiş olması da programların ne kadar önemli olduğunu vurguluyor.
İlgili haber >> Pentagon’dan hackerlara açık davet: Bizi hackleyin!
Artık pek çok sektörde hackerlar için çalışma alanları açılmaya başladı. Peki bu durum siber güvenlik alanında sorunlar yaratıyor mu? Moussouris’e göre, gizli bir programda çalışan bir hacker’ın aynı zamanda dışarıda da çalışıyor olması konusunda endişeler ve kesin olmayan fikirler mevcut. Fakat durumun eğlenceli tarafı şurada: “İçeriden kimse program isimlerinin Hack the Pentagon veya Hack the Army olmasını beklemiyordu!”
18 yıldır profesyonel olarak bu alanda çalışan Moussouris, içerideki kaygıların genellikle güvenle alakalı olduğunu belirtiyor. Kafalarında, “buldukları tüm bug’ları bildiriyorlar mı” veya “bu hacker gerçekte kim” gibi sorular olsa da aslında özel bir şirket için çalışmaktan pek de farklı değil. Moussouris, artık pek çok şirketin uygulamak istediği Bug Bounty programlarının maddi kaynaktan daha fazlasını gerektirdiğini de ekliyor.
İlgili haber >> HackingTeam skandalı Wassenaar düzenlemesini etkiler mi?
Son olarak Wassenaar Arrangement hakkında konuşan ikili, 41 ülke arasında yapılan bir anlaşma olan Wassenaar’ın konvansiyonel silahların ihracatını düzenlemek amacıyla kurulduğunu aktarıyor. 2013 yılında ise siber güvenlik maddesi bu ihracat kontrol düzenlemesine dahil oluyor. Birleşik Devletler, geçen yıl bu düzenlemedeki bazı sorunları tekrar tartışmaya açtı. Sorunlu olan tüm kavramlar için yeni müzakere henüz kabul edilmedi ve şu an bu durumun gündemde olup olmadığı belirsiz.
PODCAST’İN TAMAMINI TIKLAYARAK DİNLEYEBİLİRSİNİZ
Siber Bülten abone listesine kaydolmak için formu doldurunuz
[wysija_form id=”2″]
