Bilgisayar korsanlığı, aslında yaratıcı bir faaliyettir, çünkü yazılım veya bilgisayar sistemlerinde bazen çok orijinal olan kusurların nasıl bulunacağını bilmeyi içerir. Veri merkezlerinin fiziksel olarak sızması veya sosyal mühendislik tekniklerinin kullanılması gibi bazen beklenmedik yollar izleyebilen hatalar.
Pek çok ülkede, “hacker” terimi artık yanlış bir şekilde bilgisayar korsanı terimiyle eş tutuluyor. “Etik bilgisayar korsanı” teriminin ortaya çıkması, genellikle unutulan bilgisayar korsanlarından oluşan bir popülasyona bir isim koyarak dengeyi yeniden kurar: kötü niyet olmadan bilgisayar kusurlarını tespit etmeye çalışanlar. Ya hareketin güzelliği için ya da siber suçlular tarafından istismar edilmeden önce bu boşlukların kapatılmasına yardımcı olmak için.
Roni Carta bu tanımı inkar edilemez bir şekilde karşılar ve şirketlerin yazılım ve sistemlerindeki kusurları bulmasına aktif olarak yardımcı olur. HackerOne sitesinde hata ödül avcısı olan Roni Carta, aynı zamanda ManoMano sitesinin Kırmızı Ekibinde Kıdemli Güvenlik Mühendisidir. İlginç bir yolculuk: “Birçok kuruluş, genellikle hata ödülleri yoluyla kodlarını test etmek için etik bilgisayar korsanlarını çağırıyor” diye açıklıyor. “Fakat Fransa’da başka bir fenomen yükselmeye başlıyor: bu profillerin doğrudan kurumsal güvenlik ekipleri içinde içselleştirilmesi. »
Hata ödülü ve pentesting
Bu nedenle, bir yanda hata avlarına, başarı durumunda ödüllerle katılacak serbest çalışanlar, diğer yanda ise sistemin test edilmesinden sorumlu olacak şirketlere entegre ekipler buluyoruz. .
Bir hata ödülü altında, bilgisayar korsanlarına keşiflerine göre ödeme yapılır. Ama bu model etkili mi? Roni Carta, “Her şey şirketlerin bağlılık düzeyine bağlı” diyor. “Bu testleri yapmaya zorlandıkları için mi yapıyorlar, yoksa bilgi sistemlerini ve işbirlikçilerini gerçekten korumak için mi yapıyorlar? »
Pentest operasyonları (sızma testleri), bu testler sırasında IS’lerinin tehlikeye atılacağından korkabilecek şirketler tarafında endişelere yol açabilir. “Şirketler, bilgisayar korsanları ve hizmetleri arasında bir güven ilişkisi kurmaya her türlü ilgiye sahiptir. GDPR gibi metinler [Règlement général sur la protection des données, NDLR] neyse ki, pentesting gibi uygulamaların ana akım haline getirilmesine büyük ölçüde katkıda bulundu. Zihniyetler değişiyor. »
BT güvenliği hala çok savunmacı
Pentesting artık iyi kabul ediliyor. Bununla birlikte, saldırgan kaynakların iç entegrasyonu, Fransa’da norm olmaktan uzaktır. İşletmeler, kasıtlı olarak saldırgan bir yaklaşımdan ziyade savunmacı bir yaklaşıma daha alışkındır.
Roni Carta, “ManoMano’da, saldırgan bir güvenlik ekibi ve bir hata ödülü kombinasyonu, geleneksel yaklaşımlardan çok daha iyi sonuçlar veriyor” diyor. “HackerOne’daki hata ödülümüz sayesinde, saldırı teknikleri hakkında büyük bir bilgi kaynağına erişmemizi sağlayan kendi etik bilgisayar korsanları topluluğumuzu birleştirmeyi başardık. »
Hacker topluluğu, bilgi paylaşımını tercih ederek, kendi başına çok etkili bir izleme gerçekleştirir, bu da yeni kusurları ve izinsiz giriş yöntemlerini mümkün olduğunca erken tespit etmeyi mümkün kılar. “Fransa’da bu saldırgan kültüre ihtiyacımız var. Şirketler, saflarında etik hackerlara sahip olmanın önemini anlamalıdır. Saldırıya geçmek için bu savunmacı vizyonda reform yapmalıyız! »