• Beyaz şapka korsanlığı, siber güvenliğin çok önemli bir bileşenidir, ancak yakın zamanda CertiK'in Kraken ile olan anlaşmazlığında da görüldüğü gibi tartışmalara yol açabilir.

Beyaz şapka hackleme veya etik hackleme, siber güvenliğin çok önemli bir bileşenidir. "İyi adamların" uygulamaları incelemesine, güvenlik açıklarını satıcılara bildirmesine ve bu bilgileri ekosistemin güvenlik duruşunu iyileştirmek için kullanmasına olanak tanıyan şey hacklemedir. 

Bu blockchainde benzersiz bir kavram değil. bulut, yapay zeka, işletim sistemi güvenliği ve daha fazlasını içeren yerlerde bulunur. 

Ancak her durumda, satıcılar ve güvenlik araştırmacıları, güvenin dengeleyici eylemine dayanan hassas ama güçlü bir ilişki kurmuşlardır.

Blockchain alanında Trail of Bits, Halborn ve Open Zeppelin gibi denetçiler yıllardır çeşitli akıllı sözleşmeleri analiz edip onarıyor ve son derece profesyonel bir şekilde çalışarak güçlü bir güven duygusu oluşturuyor.

CertiK ve Kraken'in Anlaşmazlığı

CertiK araştırmacıları 17 Mayıs'ta Kraken'in Dijital Varlık Borsası bakiye hesaplama ve para yatırma mekanizmasında bir güvenlik açığı keşfetti.

CertiK yakın zamanda @krakenfx borsasında potansiyel olarak yüz milyonlarca dolarlık kayba yol açabilecek bir dizi kritik güvenlik açığı tespit etti.

@krakenfx'in mevduat sisteminde farklı dahili... pic.twitter.com/JZkMXj2ZCD arasında ayrım yapamama bulgusundan yola çıkarak

— CertiK (@CertiK) 19 Haziran 2024

Kraken Güvenlik Ekibi bunu kritik bir sorun olarak tanımladı ve 47 dakika içinde çözüldüğünü bildirdi.

İlk bakışta masum görünse de, bu tür bir güvenlik açığı saldırganların "çift harcama" yapmasına olanak tanır, yani borsaya sahte bir para yatırma yeteneğine sahiptirler.

Borsadaki bakiyeleri yanlışlıkla güncellendiğinde, aynı tutarı çekip geri dönerler.

Bu eylem, borsanın ana hazine cüzdanından parayı kaldırıyor (merkezi borsaların çoğunun, bankalara benzer şekilde, saklama fonlarını yönetmek için kullandığı cüzdan).

CertiK ayrıca, beş gün içinde en az 20 kez bu güvenlik açığından yararlanarak sahte para yatırma işlemlerinin listesini yayınladı ve yalnızca Kraken'in tespit mekanizmalarını test ettiklerini iddia etti.

Çalışan bir kavram kanıtına sahip olduktan sonra, CertiK araştırmacıları sorunu derhal Kraken'a bildirmeli ve güvenlik açığının daha fazla kötüye kullanılmasını durdurmalıydı.

Ancak olaydan bu yana sözde "test" sırasında alınan tüm fonlar, ücretler nedeniyle kaybedilen küçük bir miktar dışında Kraken'a iade edildi.

Etik Hackleme İçin Bir Çerçeve

Beyaz şapkalı hackerlık hassas bir iştir.

Amaç, satıcının işini tehlikeye atmadan uygulama güvenliğini artırmak, güven ve şeffaflığı sağlamaktır.

Ancak, altta yatan gerçek şu ki, beyaz şapkalı bilgisayar korsanları çoğu zaman PR odaklıdır ve yanlış amaçlarla en cesur manşetleri hedefleyeceklerdir.

Örneğin, "CertiK, kimsenin farkına varmadan Kraken'den 3 milyon dolar almayı başardı" başlığı, "Araştırmacılar Kraken'de kritik bir hata buldu ve milyonlarca dolar tasarruf etti" başlığından çok daha ilgi çekicidir.

Gerilimin arttığı yer burasıdır. Etik araştırmacıların bulgularını mümkün olan en kısa sürede bildirmeleri ve satıcının işinin aksamaması için en yalın kavram kanıtına sahip olmaları beklenir.

Tek istisna, satıcının araştırmacılardan penetrasyon testi talep etmesi durumudur; bu durumda, testin kapsamı ve davranış kuralları konusunda anlaşmışlardır.

Ne yazık ki, CertiK'in başarılı bir kavram kanıtı yapmasının ardından "istenmeyen" penetrasyon testleri dört gün daha devam ettiğinden durum böyle olmadı.

CertiK, ilk raporlamadan önce veya o sırada fonları iade etmeliydi. Bu kadar büyük miktarda fon Kraken'in hazinesinden veya başka bir borsadan asla alınmamalıydı.

Güvenin Bir Yer Bulduğu Yer

Bir sektör olarak, rakip bir işletmeye zarar verici bir başlığın getireceği ilgi ne olursa olsun, bir arada durmalı ve birbirimize göz kulak olmalıyız.

Sektörümüz, savaşması gereken çok sayıda kötü bilgisayar korsanıyla karşı karşıya. Neyse ki, bu gibi hayal kırıklığı yaratan gelişmelerden sonra bile, güvenlik ürünleri ve uygulamalarını geliştirmeye devam ediyoruz ve inovasyon istikrarlı bir şekilde ilerliyor.

Rakipler arasında samimi ve değerli bilgilerin paylaşıldığı sektörel iş birliği hayati önem taşıyor çünkü sonuçta güvenlik bir takım sporudur.

Bir sektör olarak ancak tüm "iyi adamlar" arasında güven varsa ilerleyebiliriz. Aslında, "biz" ve "onlar" arasında bir ayrım olmamalı - hepimiz ortak bir iyilik için çalışıyoruz ve bunu her şeyden önce aklımızda tutmalıyız.