Uygulama içinde hardcoded kimlik bilgilerini ifşa eden Alman geliştirici, 'hackleme' suçlamasından mahkûm edildi

 (infosec.exchange)
1 puan yazan GN⁺ 2024-01-20 | 1 yorum | WhatsApp'ta paylaş

Alman hukuku güvenlik araştırmasını tehlikeli bir iş haline getiriyor

  • Bir Alman mahkemesi bir geliştiriciyi 'hackleme' suçlamasından mahkûm etti.
  • Geliştirici, çok fazla günlük mesajı üreten bir yazılımı incelemekle görevlendirildi ve söz konusu yazılımın satıcının veritabanı sunucusuna MySQL bağlantısı kurduğunu keşfetti.
  • MySQL bağlantısını doğruladığında, veritabanının yalnızca müşterinin değil, satıcının tüm müşterilerine ait verileri de içerdiğini anladı. Durumu hemen satıcıya bildirdi, ancak satıcı açığı düzeltirken aynı zamanda suç duyurusunda bulundu.

Mahkeme kararı

  • Mahkemede, uygulamada hardcoded veritabanı kimlik bilgilerinin (düz metin halinde görünüyor ve hatta decompile etmeyi bile gerektirmiyor) hackleme suçlamasını haklı çıkaracak kadar yeterli bir koruma önlemi sayılıp sayılamayacağı konusunda kapsamlı tartışma yapıldı.
  • Mahkemenin kararı, parola bulunduğu için bir koruma mekanizmasının aşıldığını ve bunun hackleme anlamına geldiğini açıkça belirtiyor.
  • Bu karar, ne kadar kusurlu olursa olsun herhangi bir 'korumanın' yalnızca varlığının bile güvenlik araştırmasını Alman hukuku altında cezai hacklemeye dönüştürmesi sonucunu doğuruyor.

Topluluğun tepkisi

  • Toplulukta, bu olaya ilişkin görüşler çeşitli benzetmeler üzerinden paylaşıldı.
  • Bazıları, hardcoded kimlik bilgilerini kullanmanın hackleme sayılabileceğini, ancak niyetin ve ortaya çıkan zararın da dikkate alınması gerektiğini savunuyor.
  • Diğerleri ise satıcı yazılımının belgelenmemiş harici altyapıya çağrı yaptığını ve potansiyel olarak hassas verileri paylaştığını vurguluyor.
  • Ayrıca, hukuken korunması gereken bağımsız denetçilere duyulan ihtiyaçtan ve bunun mümkün olmadığı durumlarda ortaya çıkan sorunlardan söz ediliyor.

GN⁺ görüşü

  • Bu olay, güvenlik araştırmacılarının açık bulup bildirme faaliyetlerinin hukuki risk taşıyabileceğini gösteriyor.
  • Mahkeme kararı, güvenlik araştırması ile sorumlu ifşa arasındaki gerilimi öne çıkarırken, hukuki çerçevelerin teknolojik gelişmeyle nasıl uyum sağlaması gerektiğine dair önemli bir tartışma başlatıyor.
  • Bu tür kararların güvenlik araştırmacıları üzerinde caydırıcı etki yaratabileceği, yetersiz güvenlik önlemleri alan şirketlerin sorunlardan kaçınmasına imkân tanıyabileceği ve sonuçta kullanıcıları riske atabileceği ima ediliyor.

İlgili okumalar

1 yorum

 
GN⁺ 2024-01-20
Hacker News görüşleri

  • Başlık kafa karıştırıcı ve clickbait'e yakın görünüyor

    • Haber başlığı kafa karıştırıcı ve clickbait sınırında. Asıl sorun, veritabanı kimlik bilgilerini ifşa etmesi değil, bunları kullanarak üçüncü bir tarafın veritabanı sunucusuna giriş yapması. Bu da Almanya'da güvenlik araştırmasını fiilen imkânsız hâle getiren StGB 202 ff. ceza hukuku maddeleri nedeniyle büyük bir sorun.

  • Almanya'da güvenlik araştırması sorunu

    • Almanya'da yaklaşık 20 yıldır güvenlik alanına ilgi duyan genç mühendis neredeyse yok ve eğitimli kişi sayısı da az. Büyük şirketler yetenekli insanları tamamen bünyelerine kattı, en iyi isimler de yurt dışına gitti. Sonuç olarak Almanya'daki KOBİ'lerin çoğu her gün saldırıya uğruyor ve kimse denetim yapmadığı için ağa bağlı her şey bir güvenlik riskine dönüşüyor.

  • Hukuki tavsiye

    • Bu davanın yüksek mahkemede düşeceğini beklemek çok safça bir düşünce. Sanık, çeşitli mahkeme aşamalarında yıllarını boşa harcayacak ve avukat ücretleri için yaklaşık 100 bin avro ödeyecek. Bütün bunlar, şirket kendi verilerini düzgün koruyamadığı için yaşanıyor. Açık bir bug bounty programı yoksa, bu sizin şirketiniz değilse ya da açık bulmanız için işe alınmadıysanız, bu sorunu kendi sorununuz hâline getirmemeniz tavsiye ediliyor.

  • Alman güvenlik uzmanlarının tepkisi

    • Bazı deneyimli Alman bilgi güvenliği uzmanları bu duruma o kadar öfkeli ki, bir olay yaşansa bile devlet kurumlarına yardım etmeyi reddediyor. Bu durumu "acı yoluyla öğrenme" sözüyle ifade ediyorlar.

  • Birleşik Krallık yasalarıyla karşılaştırma

    • Alman yasaları konusunda emin değilim ama Birleşik Krallık'ta bu açıkça computer misuse kapsamına girer ve oldukça basit bir vaka olarak ele alınırdı.

  • Yasal düzenleme ihtiyacı

    • Yasanın yeniden yazılması gerekiyor gibi görünüyor. Niyet önemli ve bu "hacker" zarar vermeye çalışmış gibi görünmüyor. Şirket kendi zafiyetlerini ortaya sermiş, sonra da bunu ifşa eden kişiyi cezalandırmak istiyor.

  • Benzer vaka

    • BASE64 ile kodlanmış sosyal güvenlik numaralarını çözmenin "hack" sayıldığı bir vakaya benziyor.

  • Hollanda'daki food startup vakası

    • PostNL ile çalışırken diğer müşterilerin verilerine erişilebildiği görüldü, ancak yasal sorumluluktan kaçınmak için bunu kullanmamaya karar verildi. Şirketin bunu hukuken bildirmesi gerekiyordu ama yapmadı.

  • Güvenliğe yönelik genel tutum

    • Pek çok "hack" vakası, insanların ön kapıyı ardına kadar açık bırakıp ortadan kaybolmasına benziyor. Kapıyı açık bırakıp soyulursanız sempati görmezsiniz, ama şirket güvenliği ihmal ettiğinde öfke hackeri hedef alıyor.

  • İyi niyet ilkesine ters düşen durum

    • Bir sorun fark ederseniz hiçbir şey söylememeniz, hiçbir şey yapmamanız gereken bir durum ortaya çıkıyor. Bir sorun olabileceğini düşünüp durduktan sonra şirket hissesinde short pozisyon açmanın yasal olup olmayacağını merak ediyorum.

  • Sorun tespit edildiğinde nasıl davranılmalı

    • Bir sorun fark etseniz bile görmezden gelmek daha iyi. Parolanın görünür olduğunu bildirmek bile risk almak demek. Parolayı kullanmaktan ise özellikle kaçınmak gerekir.

  • Ceza Kanunu madde 202a

    • "Özel yöntemlerle yetkisiz erişime karşı korunan verilere erişim" konusunu açıklıyor ve istemciye hardcode edilmiş parola da buna dâhil ediliyor.