Paylaşımcı olmanın sınırları
Bir önceki "Daha çok paylaşımcı ol ya da öl!" yazımı gönderdiğim günlerde bu konudaki sınırları çok iyi anlatan bir olay da vuku bulmuş.Öncelikle fazlamesai'nin sitemizdeki temsilcisi Kıvılcım nezdinde FM'e tekrar geçmiş olsun.
Eminim bu sitenin yazarlarının başına benzer olaylar geliyordur/gelmiştir/gelecektir. Fazlamesai özelinde bu konunun açıkça tartışılması oldukça hoş {Tabii ki başka bir kurumda bu kadar teknik detayın verilmesini beklemiyorum ;) } Amerika'daki kanunlar ülkemize gelirse (geldiğinde) benzer saldırılarda kurban kurumların/şirketlerin en azından "saldırı yapıldı, şu kötü sonuçlar oldu" açıklaması yapması zaten mecburi tutulacak...
Bu saldırı sonrası saldırıda elde edilen özel bilgilerin Gri Sapka sitesinde yayınlanması, bu arada bu sayfada daha önce Radikal vb. gibi başka kurumların saldırılarda elde edilen özel bilgilerinin de yayınlandığının anlaşılması, site sahiplerinin kendi sayfalarında yayınladıkları Türk Ceza Kanunu maddelerinden haberlerinin olmadığı hatta bu özel bilgileri yayınlamaktan gurur duymaları ve en sonunda da gelen yorumlar sonrası bu hatalarını anlayıp bu bilgileri kaldırmaları {ve yayın politikalarını değiştirmeleri :-) }, diğer taraftan Gri Sapka sitesi sahipleri ve sayfaya bu bilgileri gönderenlerin muhtemelen CISSP sınavı (bkz sayfalarında sağdaki counter) ve bilgi güvenliği konusu ile ilgili olmaları ama bu sertifikaya sahip olmaları için imzalamaları gereken Code of Ethics'i hiç okumadıkları (ya da dikkate almadıkları), ...
İşte olanların özeti bu.
Aslında blog girişi için başlık atarken sadece responsible disclosure'ın önemi konusunda bir kaç satır çiziktirecektim ama yazı bilişim güvenliği camiası ve içindeki beyaz-gri-siyah şapkaların {ve şapka takmayı sevmeyenlerin ;) } tanımları konusuna kadar da gitti.
O zaman benden bu kadar, kuyuya bir taş attım...
Umarım blog'un diğer yazarları bu taşın çıkarılması konusunda yardımcı olur ;-)
