County, mahkeme güvenlik denetimi sırasında tutuklanan etik korsanlık uzmanlarına 600 bin dolar ödeyecek

 (arstechnica.com)
1 puan yazan GN⁺ 2026-01-31 | 1 yorum | WhatsApp'ta paylaş
  • 2019'da Iowa'da bir mahkeme güvenlik denetimi sırasında tutuklanan iki güvenlik uzmanı, haksız tutuklama ve iftira davasında 600 bin dolarlık uzlaşma alacak
  • İkili, Coalfire Labs bünyesinde çalışan sızma testi uzmanlarıydı ve Iowa yargı sisteminin resmi olarak izin verdiği bir 'red team' simülasyonlu sızma testini yürütüyordu
  • Testin fiziksel saldırıları (kilit açma vb.) kapsadığı açıkça belirtilmişti, ancak yerel güvenlik yetkilileri bunu ağır suç kapsamındaki hırsızlık olarak değerlendirip tutuklama yaptı
  • Daha sonra suçlama hafif suç kapsamındaki izinsiz girişe düşürüldü, ancak Dallas County Şerifi bunun hâlâ yasa dışı olduğunu savunarak kamuoyu önünde eleştirilerini sürdürdü
  • Bu olay, güvenlik uzmanlarının yasal testler sırasında bile tutuklanabileceğine dair bir uyarı olarak görülüyor ve fiziksel sızma testi süreçlerinin genelinde önemli değişiklikleri tetikliyor

Olayın özeti

  • 2019'da Gary DeMercurio ve Justin Wynn, Iowa'daki Dallas County adliyesinde resmen onaylanmış bir güvenlik denetimi yürütürken tutuklandı
    • İkili, Colorado merkezli güvenlik şirketi Coalfire Labs bünyesinde çalışıyordu ve Iowa yargı sisteminden yazılı izin alarak bir 'red team' simülasyonlu sızma testi gerçekleştiriyordu
    • Söz konusu testin amacı, gerçek suçluların veya hacker'ların sızma yöntemlerini taklit ederek güvenlik savunma sistemlerinin dayanıklılığını değerlendirmekti
  • Kurallar gereği fiziksel saldırılara (kilit açma vb.) izin veriliyordu, ancak bunun ciddi hasara yol açmaması şartı bulunuyordu

Tutuklama ve hukuki süreç

  • İkili, 3. derece ağır suç kapsamındaki hırsızlık suçlamasıyla tutuklandı, 20 saat gözaltında tutuldu ve kişi başı 50 bin dolar kefaletle serbest bırakıldı
  • Daha sonra suçlama hafif suç kapsamındaki izinsiz girişe düşürüldü, ancak Dallas County Şerifi Chad Leonard bunun yine de yasa dışı olduğunu savunarak kamuoyu önündeki eleştirilerini sürdürdü
  • İkili, haksız tutuklama ve iftira gerekçesiyle dava açtı ve olaydan 6 yıl sonra 600 bin dolarlık uzlaşma almaya hak kazandı

Olayın etkisi

  • Wynn, “Bu olay kimseyi daha güvenli hale getirmedi” diyerek, hükümetin güvenlik açıklarını tespit etmesine yardımcı olmanın tutuklama, yargılanma ve iftiraya yol açabileceği yönünde caydırıcı bir etki bıraktığını söyledi
  • Bu tür itibar kaybı, güvenlik uzmanlarının kariyeri için ölümcül olabilir ve müşteriler de bu riski fark etmeye başladı
  • Olayın ardından fiziksel sızma testi prosedürleri ve onay mekanizmalarında önemli değişiklikler yaşandı

Olay anında yaşananlar

  • 11 Eylül 2019 sabaha karşı ikili, adliyenin yan giriş kapısının kilitli olmadığını fark etti; kapıyı kapatıp kilitledikten sonra aralıktan kilit mekanizmasını devre dışı bırakarak içeri girdi
  • İçeri girdikten hemen sonra alarm çaldı, polis geldi ve bu da tutuklamayla sonuçlandı
  • Haberde, “Bu olayın kontrolden çıkmasının nedeni şerifin tepkisiydi ve çoğu bölgede böyle bir durum suçlama olmadan kapatılırdı” değerlendirmesine yer veriliyor

Güvenlik sektörünün tepkisi

  • Olay, güvenlik ve kolluk kuvvetleri çevrelerinde büyük tartışma yarattı
  • Yasal bir sözleşme kapsamında yapılan testlerin bile cezai yaptırım riski taşıyabileceğini göstermesi, güvenlik sektörünün genelinde farkındalığı artırdı
  • Sonuç olarak fiziksel etik korsanlık için onay süreçlerinin ve yasal koruma mekanizmalarının güçlendirilmesi gerekliliği öne çıktı

İlgili okumalar

1 yorum

 
GN⁺ 2026-01-31
Hacker News görüşleri

  • Polis olay yerine gelip adamları yakaladı, onların sunduğu resmi izin belgesini kontrol etti ve hatta sorumlu kişiyi arayarak her şeyin normal olduğunu doğruladı
    Ama şerif gelir gelmez tutuklama emri verdi. Sonuçta sorun, durumu anlamayan tek bir kişiydi; üstelik bu kişi yetkiliydi

    • Şerifin bilmemesinden çok, sadece bir güç mücadelesi çıkarmak istemiş gibi görünüyor
    • Habere göre Şerif Leonard gelir gelmez ortam bir anda değişmiş. “Bu bina benim yetki alanımda” diyerek kendisinin onaylamadığı bir izinsiz giriş olduğunu öne sürmüş. Büyük ihtimalle bu sadece bir ego meselesiydi ya da süreç dışında bırakılmış olmasına duyduğu rahatsızlıktı
    • Hukuken bakılırsa, belgelerin gerçekliği doğrulanana kadar tutuklama güvenli bir önlem sayılabilirdi. Sorun, sonrasındaki akıl almaz tepkiydi

  • Bu olay ilk yaşandığında haberi okuduğumu hatırlıyorum. Yine de sonucun bir ölçüde olumlu bir sonla bitmesine sevindim
    Bu arada, tutuklamanın hemen ardından açılan HN başlığı burada

    • 6 yıllık hukuk mücadelesi ve ağır suçlamalara karşı koymak için 600 bin dolar harcamış olmaları gerçekten korkunç
    • Darknet Diaries’de iki pentester ile yapılan röportajın olduğu bir bölüm da var

  • Olay 2019’da yaşandı ve adaletin çarkları gerçekten çok yavaş dönüyor

    • Medeni davalarda bu çarklar özellikle daha da yavaş dönüyor
    • Geciken adalet, adalet değildir
    • Yetişkin hayatının %10’unu mahkeme savaşına harcamak akıl alır gibi değil
    • Bu hız üzerinde etkisi olanlar yalnızca zenginler

  • O zaman bu olayın ne kadar saçma olduğunu hatırlıyorum. Bence şerif görevden alınmalıydı ama Dallas County’nin beceriksizliği için yılda 100 bin dolar tazminat almaları yine de daha iyi bir sonuç olmuş

  • İşte benim Hacker News’te görmek istediğim türden hikaye bu

  • Suçlamaların düşürülmesine sevindim ama ilk haberlere bakılırsa olayın, makalede göründüğünden çok daha karmaşık bir bağlamı vardı
    2019 tarihli Ars Technica yazısına göre,

    • Polis izin belgesindeki numaraları aradığında, bir kişi “fiziksel izinsiz girişe onay vermedim” diyerek bunu reddetmiş, diğeri ise telefonu açmamış. Böyle bir durumda polisin ne yapması gerektiği gerçekten tartışmalı
    • Sözleşmede “kapıları zorla açmayın” şeklinde muğlak bir ifade varmış ama iki kişi kilitli bir kapıyı alet kullanarak açtıklarını söylemiş. İfadenin daha net olması gerekirdi
    • “Alarmı kurcalamayın” maddesi de vardı ama polis onların alarmı kurcalamaya çalıştığını iddia etmiş. İkisi bunu reddetmiş
    • İçeri girmeden önce alkol alınmış olması da sorunlu. Kandaki alkol oranı 0.05 olduğuna göre başlarken daha da yüksek olmalıydı
    • Alarm çalıp polis geldiğinde hemen kimliklerini açıklamayıp saklanmış olmaları da sözleşme kapsamının dışındaydı
      Sonuç olarak şerifin aşırı tepkisi yanlıştı ama pentesterlar da tamamen ders kitabına uygun davranmış değildi
    • Daha önce böyle fiziksel sızma testleri yaptım; yanımızda her zaman sorumlu kişinin kişisel iletişim bilgileri ve imzalı iş kapsamı belgesi olurdu. Acil durumda kimseye ulaşılamaması gibi bir şeyi hayal bile edemem.
      Alkol ya da mala zarar vermek kesinlikle yasaktı ve polis silahla gelirse asla saklanmazdık.
      Bu testler riskli olduğu için güvenliği sağlamak adına ekibe eski asker veya eski polis kökenli birini dahil ederdik
    • Tabii eğer mahkeme binasına sızma testi yapmam gerekseydi, dürüst olmak gerekirse rahatlamak için bir iki bira içmiş olabilirdim.
      Habere göre “fiziksel saldırı” ve “kilit açma”ya izin vardı; gerçekten de kilitli kapıyı hasar vermeden açtıkları söyleniyor
    • Pentesterların da bir miktar sorumluluğu var ama polisin beyanlarının her zaman doğru ya da dürüst olmadığını düşündüğüm için bunlara tamamen güvenmek zor
    • Sonuçta böyle bir durumun birkaç saat içinde çözülmesi gerekirdi. Mahkeme ile county arasındaki yetki kavgası işi büyüttü; eğer bir avukat orada olsaydı o gece hemen “bu iş çok pahalıya patlayacak” diye uyarırdı
    • Bu arada, polis sadece davayı düşürtmedi; 600 bin dolarlık bir uzlaşmaya da vardı

  • Kamu sektörü bir yandan “çalışacak insan bulamıyoruz” derken bir yandan da böyle şeyler yapıyor. Üstelik o şerif büyük ihtimalle seçilmiş bir görevliydi

  • Gelecekte böyle bir durumla karşılaşacak biri varsa, mutlaka yazılı, telefonla ve yüz yüze olarak yerel polisi önceden bilgilendirmeli
    Polisten ön onay veya bir no-objection letter almak daha güvenli olur. Avukatla da tüm belgeler paylaşılmalı. Dünya nazik bir yer değil

    • Bunlar eyalet mahkemesinden yazılı izin ve sözlü teyit almıştı ama yargı ile şerif arasındaki çekişmeyi öngöremediler
    • Aslında polis memurları doğru şekilde hareket etti. Kimlik doğrulamasından sonra onları hemen bırakmışlardı; işi büyüten daha sonra ortaya çıkan tek bir şerif oldu
    • Ama pratikte polise ihbar gelirse her durumda olay yerine gelir ve durumu değerlendirir. Daha önce atış poligonu işletirken benzer bir şey yaşamıştım. Sonuçta mesele “ihbar varsa ekip çıkar” noktasına geliyor
    • Elbette, polisi önceden bilgilendirmek testin gerçekçiliğini azaltabilir
    • Eğer amaç eyalet yönetiminin county’nin güvenlik düzeyini değerlendirmesiyse, önceden haber vermek tam tersine testi geçersiz kılabilir. Şerifin tepkisi ise bir şeyleri gizliyor olabileceği şüphesini uyandırıyor

  • Bunun uzlaşmayla bitmesi üzücü. Davacıların daha fazla mücadele etmek istememelerini anlıyorum ama şerifin gücü kötüye kullanması mutlaka cezalandırılmalıydı

    • Şerif Chad Leonard 2022’de erken emekli oldu (haber bağlantısı)
    • Kendisi seçilmiş bir kamu görevlisiydi, dolayısıyla sonunda onu sandıkta seçmenlerin cezalandırması gerekiyordu