BLACK HAT USA – Las Vegas – Çarşamba, 9 Ağustos – Tehdit aktörleri bir organizasyona girip veri çaldığında, kurbanlar için hayal edilebilecek en kötü şey, ihlalin arkasındaki suçluların karşılaştıkları gasp girişimleridir. Günümüzde, hackerların kurbanlarının başlarının üzerine asmayı sevdiği ek bir tehdit daha var: basına gitmek.
Black Hat panelinde “Hackerlar Medyayı Nasıl Değiştirdi (ve Medya Hackerları Nasıl Değiştirdi)” TechCrunch’ın siber güvenlik kıdemli yazarı ve editörü Lorenzo Franceschi-Bicchierai, The Wall Street Journal muhabiri Robert McMillan ve Troutman Pepper ortağı Sadia Mirza, LMG Security CEO’su Sherri Davidoff ile bir araya gelerek, bir ihlal gerçekleştiğinde gazetecilerin dikkatini çekmek ve medyanın anlatısını şekillendirmek için bilgisayar korsanlarının kullandığı yeni yolları ele aldı.
Bir Marka Oluşturmak
Güvenlik olayları genellikle bir suç örgütünden veri çalıp ödeme talep eden bir hacker grubuyla başlar. 500.000 dolar veya milyonlarca dolar olsun, bir suç örgütü neredeyse bilinmiyorsa, çok az kişinin onları ciddiye alacağını bilmeleri muhtemeldir.
Grubun kendilerine bir isim ve itibar kazandırma isteği, McMillan’ın bu suç gruplarının profesyonelleşmesi olarak tanımladığı, güvenilirlik kazanmaya çalıştıkları ve kurbanların kendilerinden korkmalarını veya saygı duymalarını sağlamaya çalıştıkları şeye yol açıyor. Bu gruplar medyanın dikkatini çekmek için can atıyor ve kurbanlara karşı basına gitme tehdidini kullanarak onları ödeme yapmaya zorluyorlar. Bir ihlal meydana geldikten sonra genellikle gazetecilere veya medya web sitelerindeki sayfalara ulaşıyorlar.
Ancak bir bilgisayar korsanının bir veri ihlali hakkında medyaya ulaşması, bir gazetecinin hemen bu konuda yazmaya meyilli olacağı anlamına gelmiyor.
“Bazen ulaşıyorlar ve tüm gerçeği anlatmıyorlar veya bazen uyduruyorlar,” dedi Franceschi-Bicchierai, yayınının her hafta birkaç hikaye yazmayı amaçladığını ancak bir olay %100 doğrulanabilir değilse, onu atlamak veya daha fazlası öğrenilene kadar beklemekte bir sakınca olmadığını belirtti. Gazetecilerin yapılan iddiaları doğrulamasının ne kadar önemli olduğunu vurguladı – özellikle suçlu bir hacker gibi şüpheli bir kaynak, bir hikayeyi takip etmeye değer kılmaz.
Hikayenin Sadece Bir Parçası
Bir hacker’ın söylediklerini bir tutam tuzla alan sadece gazeteciler değil. Troutman Pepper’dan Mirza, medyaya gitme tehdidinin, ihlale uğramış müşterilere tavsiyelerde bulunurken dikkate alınması gereken bir faktör daha olduğunu belirtti. Bu hacker’ların markalarını korumak istemeleri de dikkate alınması gereken bir diğer faktördür.
Mirza, “Bir kuruluş, taahhüdünü yerine getirme itibarına sahip bir tehdit aktörü grubuna ödeme yapmaya daha meyilli olacaktır” dedi. Ancak nihayetinde, medyanın ve olay ve soruşturma ekiplerinin hedefleri çok farklıdır.
“Bir haberi kırmaya çalışmıyoruz,” dedi. “Neler olduğunun tam kapsamını kavramaya çalışıyoruz, böylece müdahale hakkında düzenli bilgi sağlayabiliriz.”
Orta Yol Bulmak
Medya ve araştırmacılar bir ihlale farklı bakış açılarından yaklaştıklarında belirgin farklılıklar ortaya çıkar. Bir tarafta, tehlikeye atılan müşterileri adına soruşturma ekipleri ağzı sıkıdır ve tam olarak ne olduğunu anlamak için zaman harcar. Diğer tarafta, gazeteciler gerçeği söyleme ve kamuoyunu olan biten hakkında mümkün olduğunca doğru bir şekilde bilgilendirme taahhütleriyle yönetildiklerini hissederler. Bu arada, bilgisayar korsanları her iki taraftan da bir şeyler elde etmeye çalışır: medyanın dikkatini çekmek ve kurbanları gasp etmek.
Hem ikisini de yatıştırıp hem de hackerların kurduğu tuzağa düşmemek nasıl mümkün olabilir?
Mirza, “İlk önce bir olay müdahale sürecinin nasıl olduğunu anlamakla başlıyoruz” dedi.
“Adli bir soruşturma haftalar sürebilir,” dedi. Mağdurlar basının istediği anda bilgi paylaşma konusunda rahat değillerdir çünkü ihtiyaç duydukları veya istedikleri tüm bilgilere sahip değillerdir. Bazen yanıt olarak ve atılacak sonraki adımların belirlenmesinde aksaklıklar yaşanır; ödeme için bir rakam üzerinde pazarlık yapmak, ödeme yapmaya karar vermek, kaç kişinin etkilendiğini veya hangi bilgilerin çalındığını belirlemek gibi.
McMillan, bu nedenle mağdurların netlik ve iletişim kurmasının hayati önem taşıdığını söyledi.
“Bunu iletebilirsin,” dedi. “Karmaşık şeyleri anlayabiliriz. Sadece bir [ransom] sayı değil, ama nerede olduğunuzu ve neden şeylerin belirli bir şekilde olabileceğini açıklamak ve dahil olmak istersiniz.”