Karar, San Francisco ABD avukatlığı için siber suçların erken savcısı olan önde gelen bir güvenlik uzmanı olan Sullivan’ı eski devlet dairesine karşı karşı karşıya getiren dramatik bir davayı sona erdirdi. Bilgisayar korsanlarını kovuşturmak ve yargılanmak arasında Sullivan, Facebook, Uber ve Cloudflare’de en üst düzey güvenlik yöneticisi olarak görev yaptı.
Yargıç William H. Orrick, ceza için bir tarih belirlemedi. Sullivan, duruşma sonrası hareketlerin kararı bir kenara bırakmaması halinde temyize gidebilir.
“Bay. Sullivan’ın tek odak noktası – bu olayda ve seçkin kariyeri boyunca – insanların kişisel verilerinin internette güvenliğini sağlamak oldu,” Sullivan avukatı David Angeli, 12 üyeli jüri müzakerelerin dördüncü gününde oybirliğiyle karar verdikten sonra dedi.
Sullivan’ın iş geçmişi olmasa bile, dava, bir şirket yöneticisine dışarıdan birinin ihlali nedeniyle açılan ilk büyük ceza davası olarak yakından izlenecekti.
Aynı zamanda sonunculardan biri olabilir: Sullivan’ın kovulmasından bu yana geçen beş yıl içinde, hassas verileri çalanlar da dahil olmak üzere gaspçılara yapılan ödemeler o kadar rutin hale geldi ki, bazı güvenlik firmaları ve sigorta şirketleri işlemleri ele alma konusunda uzmanlaştı.
“Fidyeyi ödemenin sandığımızdan daha yaygın olduğunu düşünüyorum. Güvenlik firması Critical Insight’ın kurucusu Michael Hamilton, çamurluk bükücüye benzer bir tavır var” dedi.
FBI liderleri, uygulamayı resmen caydırmakla birlikte, özellikle Rus hükümetine yakın suç gruplarına ödeme yapılmasını yasaklayan yaptırımları ihlal etmemeleri halinde fidye ödeyen kişi ve şirketleri takip etmeyeceklerini söylediler.
“Bu dava kesinlikle yöneticileri, olaya müdahale edenleri ve fidye ödemelerini ödemeye veya ifşa etmeye karar vermekle bağlantılı diğer herkesin yasal yükümlülükleri hakkında biraz daha fazla düşünmesini sağlayacaktır. Güvenlik firması Emsisoft’ta fidye yazılımı araştıran Brett Callow, “Ve bu kötü bir şey değil” dedi. “Olduğu gibi, gölgelerde çok fazla şey oluyor ve bu şeffaflık eksikliği siber güvenlik çabalarını baltalayabilir.”
Çoğu güvenlik uzmanı, Sullivan’ın CEO’yu ve suçlanmayan diğerlerini olanlardan haberdar ettiğini belirterek, Sullivan’ın beraat etmesini bekliyordu.
Voodoo Security’nin sahibi Dave Shackleford, “Yönetici paydaş girdisi ile kurumsal kararlar için kişisel sorumluluk, güvenlik yöneticileri için bir şekilde bilinmeyen yeni bir alandır” dedi. “Korkarım alanımızda ilgi eksikliğine yol açacak ve genel olarak bilgi güvenliği konusunda artan şüpheciliğe yol açacaktır.”
Birden fazla şirket için “sanal” bir bilgi güvenliği sorumlusu olan John Johnson, kabul etti. “Şirket liderliğiniz, size ve yaşam tarzınıza çok kişisel yansımaları olabilecek seçimler yapabilir” dedi. “Joe’nun yaptığı her şeyin doğru ya da mükemmel olduğunu söylemiyorum ama kafamızı gömüp bizim başımıza asla gelmeyeceğini söyleyemeyiz.”
Savcılar Sullivan’ın davasında, bilgisayar korsanlarıyla gizlilik anlaşması yapmasının bir örtbas olayına katıldığının kanıtı olduğunu savundu. Hackerların aldıkları verileri yayınlamakla tehdit ettiği için gasp tarafından takip edilen bir saldırı olduğunu ve bu nedenle Uber’in dost güvenlik araştırmacılarını ödüllendirmek için hata ödül programına hak kazanmaması gerektiğini söylediler.
Ancak gerçek şu ki, şirketlerin hacklenmesi daha da kötüleştikçe, şirketlerin bununla başa çıkma şekli, Sullivan’ın onu ihlal etmekle suçlandığı kanun mektubunun çok ötesine geçti.
Hata ödülleri genellikle bazıları sonsuza kadar süren ifşa edilmeyen anlaşmalar gerektirir.
“Hata ödül programları, güvenlik açığı bilgilerini gizlemek için kötüye kullanılıyor. Microsoft’ta bir hata ödül programı kuran ve şu anda kendi güvenlik açığı çözüm şirketini yöneten Katie Moussouris bir röportajda, Uber örneğinde, bir ihlali örtbas etmek için kullanıldı.
Sullivan aleyhindeki dava, bir bilgisayar korsanının Uber’e isimsiz olarak e-posta göndermesi ve kendisinin ve bir iş ortağının şirketin Amazon depolarından birinden veri indirmesine izin veren bir güvenlik hatası tanımlamasıyla başladı. Uber’in Amazon hesabına girmek için açıkta bıraktığı başıboş bir dijital anahtarı kullandıkları ortaya çıktı, burada 50 milyondan fazla Uber sürücüsü ve 600.000 sürücüye ait şifrelenmemiş bir veri yedeğini bulup çıkardılar.
Sullivan’ın ekibi onları Uber’in ödül programına yönlendirdi ve bunun altındaki en yüksek ödemenin 10.000 dolar olduğunu kaydetti. Bilgisayar korsanları altı rakama ihtiyaç duyacaklarını söylediler ve verileri yayınlamakla tehdit ettiler.
100.000 dolarlık bir ödeme ve bilgisayar korsanlarından verileri yok ettiklerine ve yaptıklarını ifşa etmeyeceklerine dair bir söz ile sona eren uzun bir müzakere başladı. Bu bir örtbas gibi görünse de, ifadeler Sullivan’ın personelinin, onları sözlerinde tutmak için gerekli bir koz olduğunu düşündükleri faillerin gerçek kimliklerine götürecek ipuçları elde etmek için süreci kullandığını gösterdi. İkisi daha sonra tutuklandı ve bilgisayar korsanlığı suçlamalarından suçlu bulundu ve biri Sullivan’ın davasında kovuşturma için ifade verdi.
Engelleme suçlaması, o sırada Uber’in 2014’teki büyük bir ihlali takiben Federal Ticaret Komisyonu soruşturmasının sonuna yaklaştığı gerçeğinden güç aldı.
Bir suçu veya yanlış bir suçlamayı aktif olarak gizleme suçlaması, başkalarına ne olduğunu söylemeden denizaşırı bilgisayar korsanlarına bitcoin gönderen birçok şirket şefi için de geçerli olabilir. Bu susmaların sayısını elde etmek imkansız olsa da, açıkça büyük bir rakam. Aksi takdirde, federal yetkililer, kritik altyapı kurbanlarından Siber Güvenlik ve Altyapı Güvenlik Ajansı’na fidye yazılımı bildirimlerini gerektirecek son mevzuat için baskı yapmazlardı.
Menkul Kıymetler ve Borsa Komisyonu da daha fazla ifşa. İnanç, kurumsal güvenlik ve uyumluluk liderlerini hayrete düşürdü ve dikkatlerini bu kuralların ayrıntılarına perçinleyecek.
Sullivan aleyhindeki dava bazı açılardan emsal teşkil etmeyi amaçlayan bir davadan beklenebilecek olandan daha zayıftı.
O iki bilgisayar korsanına yanıtı yönlendirirken, Sullivan’ın ekibinden bir avukat olan Craig Clark da dahil olmak üzere şirketteki birçok kişi olaya karışmıştı. Kanıtlar, Sullivan’ın Uber’in o zamanki genel müdürü Travis Kalanick’e tehdidi kendisi öğrendikten birkaç saat sonra söylediğini ve Kalanick’in Sullivan’ın stratejisini onayladığını gösterdi. FTC’ye verilen yanıtı denetleyen şirketin baş gizlilik avukatı bilgilendirildi ve şirketin iletişim ekibi başkanı da ayrıntılara sahipti.
İhlallerle ilgili olarak belirlenen yasal lider Clark’a, eski patronuna karşı tanıklık yapması için dokunulmazlık verildi. Çapraz sorguda, ekibe, bilgisayar korsanları tespit edilirse saldırının ifşa edilmesi gerekmediğini, aldıklarını silmeyi kabul ettiğini ve şirketi, verileri daha fazla yaymadıklarına ikna edebileceklerini ve bunların sonunda hepsini daha fazla yaymadıklarını kabul etti. geçmek geldi.
Savcılardan birinin Cuma günkü kapanış konuşmasında belirttiği gibi, “Joe Sullivan’ın buna inanıp inanmayacağına” itiraz etmek zorunda kaldılar.
Sullivan’ın avukatı Angeli, gerçek dünyanın böcek ödülü ideallerinden ve şirket kılavuzlarında belirtilen politikalardan farklı işlediğini söyledi.
Angeli jüriye “Günün sonunda Bay Sullivan, Uber’in müşterilerini korumak için yorulmadan çalışan bir ekibe liderlik etti” dedi.
Kalanick, alakasız skandallar nedeniyle şirketten ayrılmaya zorlandıktan sonra, halefi Dara Khosrowshahi geldi ve ihlali öğrendi. Savcılar, bir e-postadan ödeme miktarını ve bilgisayar korsanlarının on milyonlarca sürücü hakkında telefon numaraları da dahil olmak üzere şifrelenmemiş verileri ele geçirdiği gerçeğini düzenleyerek Sullivan’ın bunu ona rutin bir ödeme olarak gösterdiğini söyledi. Daha sonraki bir soruşturma tüm hikayeyi ortaya çıkardıktan sonra, Khosrowshahi ifade verdi, Sullivan’ı kendisine daha fazlasını söylemediği için kovdu.
Yeni bir çağda çalıştığını göstermeye hevesli olan şirket, ABD avukatlık bürosunun Sullivan’a karşı bir dava açmasına yardım etti. Ve savcılar da başarısız bir şekilde Sullivan’a, sürece aşina olan insanlara göre çok daha büyük bir ödül olacak ancak hayatta kalan yazılı kanıtlar tarafından lanetlenmemiş olan Kalanick’i suçlaması için baskı yaptı.
Hata ödülleri, hiçbir zaman bilgisayar korsanlarına, suçluların veya hükümetlerin ödeyeceği kadar para sunmayı amaçlamamıştı. Bunun yerine, zaten yönetim kurulunun üstünde kalmaya eğilimli olanlara biraz nakit teklif etmek için tasarlandılar.
Ancak, programlar dış satıcılar tarafından yürütüldüğünde bile faturayı ödeyen şirketlerdir. HackerBir ve böcek topluluğu. Güvenlik açıklarını bildiren araştırmacılar ile açıkları olan şirketler arasındaki anlaşmazlıklar artık yaygın.
İki taraf, bir hatanın “kapsam dahilinde” olup olmadığı, yani şirketin yardım istediğini söylediği alanların içinde olup olmadığı konusunda farklılık gösteriyor. Bir böceğin ne kadar değerli olduğu veya başkaları onu zaten bulduğu için değersiz olup olmadığı konusunda farklılık gösterirler. Ayrıca, hata giderildikten veya şirket hiçbir şeyi değiştirmemeyi seçtikten sonra, araştırmacının çalışmayı nasıl ifşa edebileceği veya hatta ifşa edip etmeyeceği konusunda farklılık gösterirler.
Ödül platformlarının bu anlaşmazlıklar için tahkim prosedürleri var, ancak şirketler faturayı ödediğinden, birçok bilgisayar korsanı önyargı görüyor. Çok fazla protesto ve platformdan tamamen atılıyorlar.
John Jackson, “Hackleme ve güvenliği daha iyi hale getirme aşkı için bir bug ödül programını hackliyorsanız, bu yanlış bir nedendir, çünkü bir şirketin yama yapmaya karar verip vermediği konusunda hiçbir kontrolünüz yoktur,” dedi John Jackson, ödül işini azaltan ve şimdi fırsat buldukça güvenlik açığı bilgilerini satan bir araştırmacı.
Bugcrowd’un kurucusu Casey Ellis, bazı şirketlerin eyalet veya federal kurallar uyarınca ifşa edilmesi gereken sorunları örtbas etmek için ödül programları kullandığını kabul etti.
Ellis, “Bu kesinlikle olan bir şey,” dedi.
Sullivan suçlandığında, fidye yazılımı saldırıları nadirdi ve takip eden yıllarda ABD ulusal güvenliği için bir tehdit haline geldi.
Bu saldırılardaki teknikler de değişti.
2020’nin başında, çoğu fidye yazılımı yalnızca dosyaları şifreliyor ve bunların kilidini açmak için anahtar için para talep ediyordu. O yılın sonuna kadar, çoğu fidye saldırısı, dosyaların doğrudan çalınmasını içeriyordu ve bu saldırıların kamuya açıklanmasını önlemek için ikinci bir fidye talebi oluşturuyordu. tarafından 2021 raporu Fidye Yazılımı Görev Gücü, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, FBI ve Gizli Servis’ten temsilcileri içeren sektör liderliğindeki bir gruptur.
Daha yakın zamanlarda, kripto para borsaları soyuldu ve daha sonra bu fonları geri almak için büyük ödemeler yapmak üzere müzakere edildi, geleneksel ödüllere çok az benzerlik gösteren serbest bir uygulama.
Ellis, “Özellikle kripto alanında geçen altı ay boyunca, model ‘saldırıya uğrayana kadar inşa et ve oradan çözeceğiz’” dedi.
Ortalama ödemeler Sullivan’ınkini geçerek yüz binlerce dolara yaklaştıkça, daha fazla işletme öngörülebilirlik için sigorta şirketlerine döndü.
Ama çoğu zaman, sigorta şirketleri buna karar verdi ödemek, kayıp dosyalardan kaynaklanan hasarı karşılamaktan daha ucuzdu. Bazıları düzenli olarak ödedi ve çeteler için sabit kazanç sağladı.
FBI, bazılarının önerdiği gibi ödemeleri yasa dışı hale getirmenin aslında onları durdurmayacağını söyledi. Bunun yerine, gaspçılara, ödeme yapıldıktan sonra kurbanlarını elinde tutmaları için başka bir kulüp verecekti.
En azından şu ana kadar Kongre, işlemleri yasaklamayı reddederek kabul etti. Bu da Sullivan’ınki gibi anlaşmaların her hafta gerçekleşmeye devam edeceği anlamına geliyor.
Eyalet yasaları veya federal rıza kararnameleri uyarınca gerektiğinde tümü açıklanacak mı? Muhtemelen değil.
Ama ortalığı susturanların ellerinin kelepçeli olmasını beklemeyin.
Kaynak : https://www.washingtonpost.com/technology/2022/10/05/uber-obstruction-sullivan-hacking/?utm_source=rss&utm_medium=referral&utm_campaign=wp_business-technology