Merhaba, Herhangi bir kurumun, şirketin ya da sistemin üzerinde önceden (imza yetkisi olan bir otoriteden) izin-onay almaksızın ve kapsam belirlemeden yapılacak her türlü "aktif tarama ve sızma testi" yasal bir mevzauata dayanmıyor, daha doğrusu dayandığı tüm mevzuat "ceza olarak" tanımlı. Yani, kısaca, yapamazsınız. Yaparsanız, iyi ya da kötü niyetli olun, konucu ceza'dır. Karşı tarafın insafına/kararına kalmış durumdasınız.
Bu hizmet türü (zafiyet analizi, sızma testi, açıklık tarama, teknik kelimeler - bug bounty, capture the flag, vb.) ancak belli şartlarda yapılabilir ki pek çok güvenlik sertifikasyonu da bunların yapılmasını şart koşmaktadır: -- Ücretli ya da ücretsiz belli bir sözleşme uyarınca size yetki verilirse (bu konuda çalışan özel şirketler/uzmanlar/pırofesyoneller zaten var) -- Belli bir yarışma, kampanya, ödüllü/teşvikli etkinlik, vb. içinde (CTF, BugBounty, bir kısım Hackathlon'lar, vb.) -- Karşı tarafın özel bir iddiası kamuya açık şekilde (ve bazen belli bir ödül karşılığında) açıklandı ise (bir şirket benim ürünüm kusursuzdur, kusur bulana ödül veririm, demişse örneğin https://tresorit.com/contest/hacking-challenge) Sızma testi, zafiyet tarama, vb. konularda kendini geliştirmek isteyen kişilerin kendilerine izin verilen ortamlarda çalışması gerekli, aksi durumların tamamı, ya tanınmamak üzerine kurulu olmalı ya da karşı tarafın sizin masumiyetinize inanmasına... Volkan Evrin Kurumsal Uygulamalar ve Bilgi Güvenliği Müdürü [cid:signaturelogo_4b13b707-ba56-4b06-8b1b-a91a726f15b3.jpg] Ar-Ge Merkezi D +90 850 251 6012 F +90 312 267 0244 www.karel.com.tr<http://www.karel.com.tr> Bu e-posta işbu bağlantıyı kullanarak erişebileceğiniz koşullara tabidir: http://www.karel.com.tr/eposta-hukuki-sartlari ________________________________ From: serdar öztüfekçi Sent: Tuesday, Apr 3, 2018 12:21 PM GMT+0300 To: [email protected]<mailto:[email protected]> Subject: [NetsecTR] Bulunan açıkların ilgili firmaya bildirilmesi hazır konusu açılmışken bende bir soru sormak istiyorum. Bu zafiyet tespiti ve bildirimi için prosedür nedir. bu tip olaylar genelde negatif olarak algılanıyor ise "bug bounty" olayı nasıl oluyor ? Diyelimki böyle bir zafiyet tespit ettik ve iyi niyetliyiz ama bu zafiyeti bildirip en azından bir teşekkür almak istiyoruz. ne yapmalıyız ? teşekkürler. 2 Nis 2018 2:48 PM tarihinde "Erol Aktay" <[email protected]<mailto:[email protected]>> yazdı: 243, Giren ve orada kalmaya devam eden diyor buna rağmen iyi niyetli yaklaşımınız nasıl karşılık bulur emin değilseniz nötr kalmakta fayda var. Geçtiğimiz hafta İngilterede yerleşik bir firmanın sunucuları için yapılan benzer bir mini PenTest olayı ödüllendirildi ve aylık tasks karşılığı maaş teklif edildi. 2018-04-02 10:24 GMT+03:00 Kemal Bozdağ <[email protected]<mailto:[email protected]>>: Merhaba, Geçen gün ziyaret ettiğim bir özel kurumda hotspot servisini yöneten sunucunun default şifre ile bırakıldığını fark ettim. Ssh yapıp, root hesabı ile login olduktan sonra, diğer interface'in firmanın diğer sunucuları ile aynı network'de olduğunu gördüm. Kötü niyetli biri için, çok fazla sömürülecek senaryo yazılabilir bir durum olduğunu tahmin edersiniz.. Şimdi, ben bu firmaya konu hakkında bilgilendirme yapsam bilişim hukuku açısından sıkıntıya düşer miyim? Benzer şeyler yaşayan, ya da konu hakkında tahmini, bilgisi olan varsa, dinlemek isterim.. Kemal. ------------------------------------------------- Firmanızın Siber Risk Skorunu Öğrenmek İster misiniz? https://www.bgasecurity.com/siber-risk-skor-karti-ve-karnesi/ ------------------------------------------------- ------------------------------------------------- Firmanızın Siber Risk Skorunu Öğrenmek İster misiniz? https://www.bgasecurity.com/siber-risk-skor-karti-ve-karnesi/ ------------------------------------------------- ------------------------------------------------- Firmanızın Siber Risk Skorunu Öğrenmek İster misiniz? https://www.bgasecurity.com/siber-risk-skor-karti-ve-karnesi/ ------------------------------------------------- [cid:reklam-imza-v2_fae86dcd-ccdb-4a89-9bbb-7b7a6dba6265.jpg]<http://www.karel.com.tr/sirket-profili>
------------------------------------------------- Firmanızın Siber Risk Skorunu Öğrenmek İster misiniz? https://www.bgasecurity.com/siber-risk-skor-karti-ve-karnesi/ -------------------------------------------------
