Beyaz Şapkalı Hacking'de Güven ve Hesap Verebilirlikte Gezinmek: CertiK-Kraken Senaryosuna Yakından Bir Bakış
Summary:
Makale, güvenlik uzmanları CertiK ile dijital varlık değişim şirketi Kraken arasındaki bir olayı tartışarak, beyaz şapkalı bilgisayar korsanlığı bağlamında siber güvenlik firmaları ve satıcıları arasındaki hassas güven dengesini araştırıyor. Olay, CertiK tarafından Kraken'in borsa bakiyesinde ve para yatırma işlevinde keşfedilen bir güvenlik açığını içeriyordu. Karmaşık durum, etik bilgisayar korsanlarının rolünün ve sorumluluklarının altını çizdi, kritik bulguların zamanında raporlanmasını vurguladı ve daha fazla istismar başlatmadı. Makale, bu tür işbirlikçi çalışma ve güvenin, endüstri çapında güvenlik uygulamalarını iyileştirmede gerekli olduğunu öne sürüyor.
Genellikle beyaz şapkalı bilgisayar korsanlığı olarak adlandırılan etik bilgisayar korsanlığı alanı, siber güvenliğin korunmasında hayati bir unsurdur. Siber 'iyi adamlar' için bir araç olarak hizmet veren bu bilgisayar korsanlığı biçimi, uygulamaları parçalamanın, güvenlik açıklarını keşfetmenin ve bu bulguları sistemin genel güvenlik gücünü güçlendirmek için kullanmanın bir yolunu sunar. Uygulaması, diğerlerinin yanı sıra blok zinciri, bulut depolama, yapay zeka ve işletim sistemi güvenliği dahil olmak üzere çeşitli sektörlerde uzanmaktadır. Her senaryoda, satıcılar ve güvenlik uzmanları arasında incelikli bir güven dengesine dayanan karmaşık ancak sağlam bir bağ gelişmiştir. Trail of Bits, Halborn ve Open Zeppelin gibi firmalar, bir dizi akıllı sözleşmeyi inceliyor ve düzeltiyor ve güveni artıran kusursuz bir profesyonel sicili koruyor.
17 Mayıs'ta CertiK ve Kraken arasında, CertiK araştırmacılarının Kraken'in Dijital Varlık Borsası bakiye hesaplaması ve para yatırma işlevinde bir güvenlik açığı ortaya çıkarmasıyla tartışma çıktı. Kraken Güvenlik Ekibi bunu ciddi bir mesele olarak kabul etti ve 47 dakika içinde düzeltmeyi başardı. Yüzeyde zararsız gibi görünse de, böyle bir güvenlik açığı siber suçluların bir 'çifte harcama' eylemi gerçekleştirmesine izin verebilir - bir borsayı sahte bir para yatırma kabul etmesi için kandırabilir. Bakiye yanlışlıkla güncellendiğinde, geri dönüp eşdeğer tutarı çekebilirler. Bu, tıpkı bir banka gibi, borsanın hazine cüzdanındaki fonları boşaltacaktır.
CertiK, sahte para yatırma işlemlerinin bir listesini açıkladı ve bu güvenlik açığının Kraken'in tespit yeteneklerinin sözde 'testleri' olarak beş gün içinde 20 kez kullanıldığını gösterdi. Bu olayın ardından, bu sözde 'test' aşamasında yerinden edilen tüm fonlar, ücretlerde tükenen küçük bir segment dışında Kraken'e yeniden yatırıldı.
Açık bir işlev kanıtına sahip olmasına rağmen, CertiK ekibi, güvenlik açığının daha fazla manipüle edilmesinden kaçınırken Kraken'i sorunla ilgili olarak derhal uyarmalıydı.
Beyaz şapkalı bilgisayar korsanlığı, birincil amacı uygulama güvenliğini artırmak, satıcının ticari operasyonlarına bir tehdit oluşturmadan güven ve şeffaflık sağlamak olan hassas bir alandır. Bununla birlikte, beyaz şapkalı bilgisayar korsanları belirli bir miktarda tanıtım yaparlar ve yanlış yönlendirilmiş hırslarla bunun yerine keşiflerini dikkat çekmek için sansasyonel hale getirebilir ve bu da gerginliğe neden olabilir. Etik bilgisayar korsanlarının, bulgularını en az kavram kanıtı ile derhal açıklamaları ve satıcının işletmelerine yönelik rahatsızlıkları azaltmaları gerekmektedir. CertiK tarafından başarılı bir kavram kanıtından sonra dört günlük bir süre boyunca davetsiz sızma testi, ne yapılmaması gerektiğine bir örnektir. Açıkçası, fonlar ya hemen ya da ilk rapor sırasında Kraken'e iade edilmeliydi - bu kadar önemli bir meblağ asla geri çekilmemeliydi.
Sektör açısından bakıldığında, dayanışma göstermek ve zarar verici manşetlerin veya rekabetlerin olası zararlarına karşı birbirimizi korumak hayati önem taşır. Savuşturulması gereken çok sayıda kötü niyetli bilgisayar korsanı ile güvenlik ürünlerimizi ve prosedürlerimizi geliştiriyor ve öncü çözümlerle tutarlı bir şekilde ilerliyoruz. Sektör içindeki işbirliği, önemli ve paha biçilmez bilgilerin değiş tokuşuna yol açtığı için çok önemlidir ve dedikleri gibi, güvenlik bir takım oyunudur. 'İyi adamlar' arasındaki güven, ilerleme için esastır ve asla 'onlara karşı biz' durumu olmamalıdır. Hepimiz ortak bir iyiyi hedefliyoruz ve her zaman bu noktayı vurgulamalıyız.
Yazar Shahar Madar, Fireblocks'ta güvenlik ve güvenden sorumlu başkan yardımcısıdır. Bu makalede paylaşılan görüşler yalnızca yazara aittir ve Cointelegraph'ın görüş ve düşüncelerini yansıtmaz. Yalnızca bilgilendirme amaçlıdır ve yasal veya yatırım tavsiyesi teşkil etmez.
Published At
6/28/2024 11:48:06 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.