Aramizda
Aktif Üye
CDU bir keresinde onu ihbar etmişti; internette “isyan etkisi yaratan” biri olarak görülüyor ve şirketler onun tarafından LinkedIn'de ziyaret edildiklerini gördüklerinde korkuyorlar: Güvenlik araştırmacısı Lilith Wittmann her güvenlik açığını ve her veri sızıntısını buluyor ve durmaksızın yayınlıyor. sorumlu ve neyin yanlış gitmiş olabileceği. Büyük bir hayran kitlesine ek olarak, onu bulgularıyla her zaman sorumlu bir şekilde ilgilenmemekle suçlayan sert eleştirmenler de var.
Reklamcılık
Peki güvenlik açıklarının sorumlu bir şekilde yayınlanması tam olarak nasıl çalışıyor? Hangi tuzaklar ortaya çıkıyor ve güvenlik araştırmacısı internette hangi uçurumları araştırdı? İki teknoloji muhabiri Svea Eckert ve Eva Wolfangel ile birlikte yeni c't podcast'i “Kadın ve Teknoloji”de bu konuyu konuşuyor ve diğer şeylerin yanı sıra üçünün birlikte yürüttüğü araştırmaya dayanıyor: sözde hapishane sızıntıları . Binlerce mevcut ve eski mahkûmun en kişisel verileri internette açıkça bulundu; çünkü cezaevi telefon sağlayıcısı bu verileri güvence altına alamamıştı. Podcast'te Wittmann, üreticinin çok savunmasız bir grubun verilerini “kesinlikle sorumsuzca” ve “hizmeti kullanmak isteyip istemedikleri konusunda bile seçeneği olmayan” bir grubun verilerini ele aldığını söylüyor.
Lilith Wittmann hangi sistemleri ve web sitelerini daha yakından inceleyeceği fikrini nasıl edindiğini anlatıyor – bu durumda mahkumlarla ilgilenmek uzun süredir ilgisini çekiyordu ve sisteme daha yakından baktığında bir hafta sonu, “Aslında bazı şeyleri tuhaf buldum.” Örneğin, saldırganların kaba kuvvet saldırısı adı verilen yöntemle kısa sürede hesaplayabildiği, çok kısa olduğuna inandıkları mahkûmların kimlik numarası. Ancak Lilith Wittmann konusunda – çoğu zaman olduğu gibi – sorunun gerçek boyutunu anlamak için hızlı bir bakış ve birkaç soru yeterliydi. Birkaç saat sonra, terapistlere, koruyucu ebeveynlere, telefon danışmanlığına, avukatlara ve çok daha fazlasına yapılan aramalar dahil olmak üzere mahkumların on binlerce iletişim detayına sahipti. Wittmann “Bu şok ediciydi” diyor. Şok ediciydi, “çünkü ayrıntı düzeyinde kaydedileceğini veya gerçekte neden kaydedileceğini bile düşünmezdim.”
Ayrıca sağlayıcı “bu durumu son derece etik dışı bir şekilde ele aldı”. Sadece hassas verileri korumasız olarak çevrimiçi yayınlamakla kalmadı, aynı zamanda başlangıçta diğerlerinin yanı sıra Wolfangel ve Eckert gibi gazetecilerin sorularına da yanıt vermedi. Lilith Wittmann boşluğu bulup belgeledikten sonra onları doğrudan bilgilendirdi. Ancak bu yine de sorumlu bir açıklama mı? Etik bilgisayar korsanlığı alanından gelen terim, güvenlik açıklarının yalnızca üretici bilgilendirildikten ve bunları kapattıktan sonra yayınlandığı bir prosedürü tanımlar. Fark kapanmadan medyayı bilgilendirmek etik midir?
Podcast'te Wittmann ve iki teknoloji gazetecisi bu durumda nasıl ilerlediklerini ve saygın medya gibi bağımsız bir kuruluşun güvenlik açıklarını kendilerinin anlayabilmesinin neden yararlı olabileceğini tartışıyorlar. Nihai olarak görevleri Wittmann gibi güvenlik araştırmacılarından gelen ilgili raporları doğrulamak ve sosyal sonuçları değerlendirmektir. Boşluklar zaten kapatılmışsa ve üreticiler boyutları inkar ediyorsa bu genellikle artık mümkün olmaz. Wittmann podcast'te “Şirketlerin ayrıntıları çarpıtmaya çalıştığı her zaman oluyor” diyor.
Aslında bu olayda da aynı durum yaşandı, yani Wittmann'ın sızıntıda bulduğu ses dosyalarında da. Bunlar muhtemelen mahkumlardan gelen telefon görüşmelerinin kayıtlarıydı. Etik ve yasal nedenlerden dolayı hem Wittmann hem de iki gazeteci konuyu açmaktan kaçındı. Güvenli olmayan yazılımın üreticisinin “başarısı” ile bunu inkar edebildi.
Aynı nedenden ötürü Wittmann, bazı kişiler bunu sorumlu açıklamayla bağlantılı olarak talep etse bile genellikle üreticilerle yayın süreci konusunda koordinasyon kurmuyor. Podcast'te “Bunu şirketler için değil insanlar için yapıyorum” diyor ve şöyle devam ediyor: “Bu yüzden anlayabileceğim bir şekilde ancak PR ekibi krizden önce bir boşluk kapanır kapanmaz ayrılıyorum. her şeyi çarpıtıyor.” Bu aynı zamanda bazen bir boşluk kapanmadan önce yayınlamaya bile karar verdiği anlamına geliyor – eğer bu, konuyla ilgisi olmayan taraflara herhangi bir zarar getirmiyorsa.
Wittmann, “Sorumlu açıklama, bir güvenlik araştırmacısı olarak yöntem kutumdaki seçeneklerden yalnızca biridir” diyor. Tabii ki, her zaman bir çıkar dengesi vardır. “Amacım, sağlayıcının iletişim üzerinde egemenliğe sahip olmamasıdır.”
Elbette buna tek başına karar vermiyor, ancak her zaman hukuki tavsiyeyle karar veriyor: “Artık her güvenlik ihlali için, ben bunu nasıl rapor edeceğime ve nasıl yayınlayacağıma karar vermeden önce masaya bir veri koruma uzmanı ve çoğu zaman bir ceza avukatı oturuyor. Bu aynı zamanda geçmiş deneyimlere de dayanıyor.” Bu deneyimlerden biri CDU'nun seçim kampanyası uygulamasında boşluklar yayınlamasının ardından yayınladığı bir reklamdır. Bu duyurunun ardından CCC, gelecekte bu tür durumlarda sorumlu açıklama yapmaktan vazgeçebileceğini duyurdu.
Podcast'te Lilith Wittmann ayrıca başka neler yaptığını, bir proje yöneticisi olarak nasıl sıklıkla stajyer sanıldığını, neden kadın yöneticili işverenleri tercih ettiğini ve işyerindeki güvenlik açıklarını aramamaktan neden mutlu olduğunu anlatıyor: “Çünkü o zaman diğer tarafta oturacağım yerde oturmayacağım.” Çünkü, proje yönetimi ve kullanıcı deneyimi üzerinde daha çok çalışsa da, BT güvenliği departmanının işleri onun için her zaman kolay olmadığını açıkça itiraf ediyor. “Tabii ki boş zamanımı diğer tarafta, yani böyle bir sistemi nasıl parçalayacağımla ilgili çalışarak geçirmeme de yardımcı oluyor.”
(ay)
Reklamcılık
Peki güvenlik açıklarının sorumlu bir şekilde yayınlanması tam olarak nasıl çalışıyor? Hangi tuzaklar ortaya çıkıyor ve güvenlik araştırmacısı internette hangi uçurumları araştırdı? İki teknoloji muhabiri Svea Eckert ve Eva Wolfangel ile birlikte yeni c't podcast'i “Kadın ve Teknoloji”de bu konuyu konuşuyor ve diğer şeylerin yanı sıra üçünün birlikte yürüttüğü araştırmaya dayanıyor: sözde hapishane sızıntıları . Binlerce mevcut ve eski mahkûmun en kişisel verileri internette açıkça bulundu; çünkü cezaevi telefon sağlayıcısı bu verileri güvence altına alamamıştı. Podcast'te Wittmann, üreticinin çok savunmasız bir grubun verilerini “kesinlikle sorumsuzca” ve “hizmeti kullanmak isteyip istemedikleri konusunda bile seçeneği olmayan” bir grubun verilerini ele aldığını söylüyor.
Lilith Wittmann hangi sistemleri ve web sitelerini daha yakından inceleyeceği fikrini nasıl edindiğini anlatıyor – bu durumda mahkumlarla ilgilenmek uzun süredir ilgisini çekiyordu ve sisteme daha yakından baktığında bir hafta sonu, “Aslında bazı şeyleri tuhaf buldum.” Örneğin, saldırganların kaba kuvvet saldırısı adı verilen yöntemle kısa sürede hesaplayabildiği, çok kısa olduğuna inandıkları mahkûmların kimlik numarası. Ancak Lilith Wittmann konusunda – çoğu zaman olduğu gibi – sorunun gerçek boyutunu anlamak için hızlı bir bakış ve birkaç soru yeterliydi. Birkaç saat sonra, terapistlere, koruyucu ebeveynlere, telefon danışmanlığına, avukatlara ve çok daha fazlasına yapılan aramalar dahil olmak üzere mahkumların on binlerce iletişim detayına sahipti. Wittmann “Bu şok ediciydi” diyor. Şok ediciydi, “çünkü ayrıntı düzeyinde kaydedileceğini veya gerçekte neden kaydedileceğini bile düşünmezdim.”
Ayrıca sağlayıcı “bu durumu son derece etik dışı bir şekilde ele aldı”. Sadece hassas verileri korumasız olarak çevrimiçi yayınlamakla kalmadı, aynı zamanda başlangıçta diğerlerinin yanı sıra Wolfangel ve Eckert gibi gazetecilerin sorularına da yanıt vermedi. Lilith Wittmann boşluğu bulup belgeledikten sonra onları doğrudan bilgilendirdi. Ancak bu yine de sorumlu bir açıklama mı? Etik bilgisayar korsanlığı alanından gelen terim, güvenlik açıklarının yalnızca üretici bilgilendirildikten ve bunları kapattıktan sonra yayınlandığı bir prosedürü tanımlar. Fark kapanmadan medyayı bilgilendirmek etik midir?
Podcast'te Wittmann ve iki teknoloji gazetecisi bu durumda nasıl ilerlediklerini ve saygın medya gibi bağımsız bir kuruluşun güvenlik açıklarını kendilerinin anlayabilmesinin neden yararlı olabileceğini tartışıyorlar. Nihai olarak görevleri Wittmann gibi güvenlik araştırmacılarından gelen ilgili raporları doğrulamak ve sosyal sonuçları değerlendirmektir. Boşluklar zaten kapatılmışsa ve üreticiler boyutları inkar ediyorsa bu genellikle artık mümkün olmaz. Wittmann podcast'te “Şirketlerin ayrıntıları çarpıtmaya çalıştığı her zaman oluyor” diyor.
Aslında bu olayda da aynı durum yaşandı, yani Wittmann'ın sızıntıda bulduğu ses dosyalarında da. Bunlar muhtemelen mahkumlardan gelen telefon görüşmelerinin kayıtlarıydı. Etik ve yasal nedenlerden dolayı hem Wittmann hem de iki gazeteci konuyu açmaktan kaçındı. Güvenli olmayan yazılımın üreticisinin “başarısı” ile bunu inkar edebildi.
Aynı nedenden ötürü Wittmann, bazı kişiler bunu sorumlu açıklamayla bağlantılı olarak talep etse bile genellikle üreticilerle yayın süreci konusunda koordinasyon kurmuyor. Podcast'te “Bunu şirketler için değil insanlar için yapıyorum” diyor ve şöyle devam ediyor: “Bu yüzden anlayabileceğim bir şekilde ancak PR ekibi krizden önce bir boşluk kapanır kapanmaz ayrılıyorum. her şeyi çarpıtıyor.” Bu aynı zamanda bazen bir boşluk kapanmadan önce yayınlamaya bile karar verdiği anlamına geliyor – eğer bu, konuyla ilgisi olmayan taraflara herhangi bir zarar getirmiyorsa.
Wittmann, “Sorumlu açıklama, bir güvenlik araştırmacısı olarak yöntem kutumdaki seçeneklerden yalnızca biridir” diyor. Tabii ki, her zaman bir çıkar dengesi vardır. “Amacım, sağlayıcının iletişim üzerinde egemenliğe sahip olmamasıdır.”
Elbette buna tek başına karar vermiyor, ancak her zaman hukuki tavsiyeyle karar veriyor: “Artık her güvenlik ihlali için, ben bunu nasıl rapor edeceğime ve nasıl yayınlayacağıma karar vermeden önce masaya bir veri koruma uzmanı ve çoğu zaman bir ceza avukatı oturuyor. Bu aynı zamanda geçmiş deneyimlere de dayanıyor.” Bu deneyimlerden biri CDU'nun seçim kampanyası uygulamasında boşluklar yayınlamasının ardından yayınladığı bir reklamdır. Bu duyurunun ardından CCC, gelecekte bu tür durumlarda sorumlu açıklama yapmaktan vazgeçebileceğini duyurdu.
Podcast'te Lilith Wittmann ayrıca başka neler yaptığını, bir proje yöneticisi olarak nasıl sıklıkla stajyer sanıldığını, neden kadın yöneticili işverenleri tercih ettiğini ve işyerindeki güvenlik açıklarını aramamaktan neden mutlu olduğunu anlatıyor: “Çünkü o zaman diğer tarafta oturacağım yerde oturmayacağım.” Çünkü, proje yönetimi ve kullanıcı deneyimi üzerinde daha çok çalışsa da, BT güvenliği departmanının işleri onun için her zaman kolay olmadığını açıkça itiraf ediyor. “Tabii ki boş zamanımı diğer tarafta, yani böyle bir sistemi nasıl parçalayacağımla ilgili çalışarak geçirmeme de yardımcı oluyor.”
(ay)