hadicanim
Aktif Üye
Modern Çözüm: Şimdi güvenlik araştırmacılarına karşı ceza davası
Gladbeck merkezli yazılım hizmeti sağlayıcısı Modern Solution’ın sistemlerinde ciddi bir güvenlik açığı bulan BT uzmanının davasında, dava şu anda Jülich bölge mahkemesinde görülüyor. 27 Temmuz tarihli bir karara göre (dosya numarası 60 Qs 16/23), Aachen bölge mahkemesi AG Jülich’in davayı müzakere etmesi gerektiğine karar verdi. Jülich yargıçları, Mayıs ayında Köln savcılığının suç duyurusunu, BT uzmanı tarafından erişilen verilerin hacker paragrafı 202a StGB anlamında bir suç teşkil edecek kadar yeterince korunmadığı gerekçesiyle reddetmişti. Bunun üzerine Köln Cumhuriyet Savcılığı temyize gitti.
Reklamcılık
Bir tür kara büyü olarak kaynak koda dönüştürme mi?
Jülich davasında, bölge mahkemesindeki yargıçlar “şifrenin her zaman etkili veri güvenliğini sağlamadığına” karar verdiler. “Örneğin, çok basitse veya belirli uygulamalar için standart bir şekilde kullanılıyorsa. Bu gibi durumlarda, verilere erişim sağlamak bir gerçek değildir.” LG Aachen’deki hakimler bu mantığa uymadı. Aachen Bölge Mahkemesi’nin kararına göre, veriler özellikle güvenliydi çünkü parola koruması vardı ve verilerin “alınması” “yalnızca kaynak koda dönüştürmeden sonra da mümkündü”. “Güvenli erişim için şifre ile erişimin sağlanması yeterlidir”, dolayısıyla cezai suç yerine getirilmiş olur. Mahkeme böylece yıllardır diğer mahkemelerde de hakim olan hukuki mütalaayı takip ediyor.
Aachen yargıçlarının hukuki görüşüne göre, “bilgi sahibi kişilerin veya uzmanların verilere kolayca erişip erişemeyeceği değil, yetkisiz kişilerin erişimine karşı verilerin genel güvenliği dikkate alınmalıdır”. Karar ayrıca, Köln Cumhuriyet Savcılığı’nın şikayetinde, bir ikili dosyanın kaynak koda dönüştürülmesinin “programlama dilleri ve yazılım geliştirme konusunda derin bir anlayış” gerektirdiğini ileri süren iddialarını da takip ediyor. kaynak koda dönüştürmenin sonucu”. Pek çok BT güvenlik uzmanının muhtemelen aynı fikirde olmayacağı bir sonuç – “senaryo çocukları” teriminin var olması boşuna değil. Köln savcıları, “buradaki söz konusu verilere ve şifrelere yalnızca gerekli uzmanlık bilgisine sahip sınırlı bir grup insanın erişebileceği” sonucuna varmıştı.
Parola ne zaman “etkili bir yedek” olur?
Bölge mahkemesi şimdi, bir polis görev gücünün tüm çalışma araçlarına el koyduğu BT uzmanına karşı davayı (dosya numarası 17 Cs 55/23) müzakere etmelidir. Programcı, güvenlik açığını Haziran 2021’de buldu. Diğer şeylerin yanı sıra Modern Solution, bir hizmet sağlayıcı olarak hareket eder ve çevrimiçi mağazalarını çevrimiçi pazar yerlerine (örneğin Kaufland, Otto, Check24) bağlamak isteyen müşteriler için ürün yönetim sistemi JTL-WaWi’yi barındırır. ve İdealo. Güvenlik açığı nedeniyle, bu pazaryerlerinin 700.000’den fazla son müşterisinin verileri yeterince korunmadı. O sırada bir Modern Solution müşterisi için serbest olarak hata ayıklayan programcı, Modern Solution’daki güvenlik açığını bildirdi ve ardından şirket güvenlik açığını düzelttikten sonra bunu herkese açık hale getirdi. Ona göre, işi sırasında bir güvenlik açığı bulan ve rapor eden bir güvenlik araştırmacısı gibi hareket etti. Ancak şirket ödül vermek yerine polise ihbarda bulundu.
Şimdiye kadarki iki usul adımında, hangi verilerin özellikle güvenli olduğu ve bunlara yetkisiz erişimin Ceza Kanunu’nun 202a Maddesi anlamında “veriler üzerinde casusluk” teşkil edip etmediği konusunda iki farklı hukuki görüş ortaya çıktı. Mevcut durumda, etkilenen yazılıma kalıcı olarak girilen ve bu nedenle tüm kurulumlar için aynı olan, tahmin edilmesi son derece kolay bir paroladır. Müşterinin dahili ağında aktarım şifrelemesinin çalışmadığı noktalarda kaydedilebilir veya programın ikili dosyalarının derlenmesiyle bulunabilir. Bu parola, İnternet üzerinden Modern Çözüm sunucularına bir SQL bağlantısı açmak için kullanıldı.
Reklamcılık
Tehlikeli emsal
Aachen yargıçlarının kararı, güvenlik araştırmacılarını ve bilgisayar sistemleriyle profesyonel olarak çalışan kişileri ilgilendiriyor. Çok az uzman, böylesine teknik bir uygulamaya sahip bir güvenlikten gerçekten söz eder. Program kodunun ikili veri halinde derlenmesinin bir tür koruma oluşturduğu görüşünü bir uzmanlar paneli önünde tartışmak da muhtemelen zor olacaktır.
Bu ülkede neyin yasal olarak “yetkisiz erişime karşı özel güvenlik” olarak kabul edildiği sorusundan bağımsız olarak, dava muhtemelen güvenlik araştırmacıları ve BT uzmanlarını özellikle ilgilendiriyor çünkü ona göre sanık genel halkın çıkarına hareket etti. Son olarak, sanıklar için cezai kovuşturmanın kapıda olması, bu ülkedeki güvenlik araştırmacılarını şirketlerdeki güvenlik açıklarını bildirmekten caydırabilir. Jülich bölge mahkemesindeki duruşma için şimdiye kadar herhangi bir tarih belirlenmedi.
(mki)
Haberin Sonu