Perkara Penting: Dalam dunia teknologi, keselamatan siber adalah keutamaan. Bagi mereka yang terlibat dalam pembangunan dan penggunaan teknologi Web3, memahami konsep bug bounty dan etika penggodaman adalah langkah penting untuk melindungi aset digital serta menjaga integriti sistem.
Bug Bounty: Apa Itu?
Bug bounty merupakan program di mana organisasi atau projek blockchain menawarkan ganjaran kewangan kepada individu yang dapat mengenal pasti dan melaporkan kelemahan (bug) dalam sistem mereka. Ini bukan sahaja membantu meningkatkan keselamatan platform, tetapi juga memberikan peluang kepada para pakar keselamatan untuk menunjukkan kemahiran mereka secara profesional.
Bagaimana Cara Berfungsi?
- Pengenalan Masalah: Individu yang menyertai program ini akan menganalisis kod sumber atau infrastruktur projek untuk mencari kelemahan yang boleh dieksploitasi.
- Laporan dan Penilaian: Setelah menemui kelemahan, peserta perlu melaporkannya kepada pihak berkuasa dengan butiran yang jelas dan tepat. Pihak pengendali projek akan menilai kepentingan dan potensi risiko daripada setiap laporan tersebut.
- Ganjaran Kewangan: Sebagai balasan, peserta akan menerima ganjaran yang ditentukan, bergantung pada tahap keparahan dan potensi ancaman yang dibawa oleh kelemahan tersebut.
Kelebihan Bug Bounty
- Peningkatan Keselamatan: Program ini membantu organisasi mengesan dan memperbaiki kelemahan sebelum ia disalahgunakan oleh pihak tidak bertanggungjawab.
- Pengiktirafan Profesional: Peserta yang berjaya mengenal pasti dan melaporkan bug sering kali mendapat pengiktirafan dalam komuniti teknologi, sekali gus meningkatkan reputasi mereka.
- Kolaborasi Global: Bug bounty bukan sahaja merangsang inovasi, tetapi juga mendorong kerjasama antara pakar keselamatan dari seluruh dunia.
Etika Penggodaman: Apa Yang Perlu Diingat?
Walaupun bug bounty adalah cara yang sah dan bermanfaat untuk meningkatkan keselamatan, etika penggodaman tetap perlu diutamakan. Berikut adalah beberapa panduan penting:
- Mohon Izin Terlebih Dahulu: Pastikan anda hanya menggodam sistem yang telah diluluskan untuk tujuan pengujian.
- Jaga Kerahsiaan: Jangan dedahkan maklumat sensitif atau data pengguna tanpa kebenaran.
- Gunakan Kemahiran Anda dengan Bijak: Gunakan pengetahuan anda untuk membantu memperbaiki sistem, bukan untuk mengeksplotasinya.
Dengan memahami konsep bug bounty dan etika penggodaman, kita bukan sahaja dapat melindungi aset digital kita, tetapi juga membina ekosistem Web3 yang lebih selamat dan berintegriti. Ingatlah, keselamatan bukan sekadar tanggungjawab teknikal, tetapi juga tanggungjawab moral bagi semua pihak yang terlibat dalam industri ini.
/
Bug Bounty: Apa Itu?
Bug bounty merupakan program di mana organisasi atau projek blockchain menawarkan ganjaran kewangan kepada individu yang dapat mengenal pasti dan melaporkan kelemahan (bug) dalam sistem mereka. Ini bukan sahaja membantu meningkatkan keselamatan platform, tetapi juga memberikan peluang kepada para pakar keselamatan untuk menunjukkan kemahiran mereka secara profesional.Bagaimana Cara Berfungsi?
- Pengenalan Masalah: Individu yang menyertai program ini akan menganalisis kod sumber atau infrastruktur projek untuk mencari kelemahan yang boleh dieksploitasi.
- Laporan dan Penilaian: Setelah menemui kelemahan, peserta perlu melaporkannya kepada pihak berkuasa dengan butiran yang jelas dan tepat. Pihak pengendali projek akan menilai kepentingan dan potensi risiko daripada setiap laporan tersebut.
- Ganjaran Kewangan: Sebagai balasan, peserta akan menerima ganjaran yang ditentukan, bergantung pada tahap keparahan dan potensi ancaman yang dibawa oleh kelemahan tersebut.
Kelebihan Bug Bounty
- Peningkatan Keselamatan: Program ini membantu organisasi mengesan dan memperbaiki kelemahan sebelum ia disalahgunakan oleh pihak tidak bertanggungjawab.
- Pengiktirafan Profesional: Peserta yang berjaya mengenal pasti dan melaporkan bug sering kali mendapat pengiktirafan dalam komuniti teknologi, sekali gus meningkatkan reputasi mereka.
- Kolaborasi Global: Bug bounty bukan sahaja merangsang inovasi, tetapi juga mendorong kerjasama antara pakar keselamatan dari seluruh dunia.
Etika Penggodaman: Apa Yang Perlu Diingat?
Walaupun bug bounty adalah cara yang sah dan bermanfaat untuk meningkatkan keselamatan, etika penggodaman tetap perlu diutamakan. Berikut adalah beberapa panduan penting:- Mohon Izin Terlebih Dahulu: Pastikan anda hanya menggodam sistem yang telah diluluskan untuk tujuan pengujian.
- Jaga Kerahsiaan: Jangan dedahkan maklumat sensitif atau data pengguna tanpa kebenaran.
- Gunakan Kemahiran Anda dengan Bijak: Gunakan pengetahuan anda untuk membantu memperbaiki sistem, bukan untuk mengeksplotasinya.
Departmen Teknologi Maklumat dan Komunikasi pada 14 Januari telah mengeluarkan surat edaran jabatan HRA-002, yang menetapkan garis panduan, peraturan, dan undang-undang baharu serta disusun semula berkaitan pelaporan kelemahan sistem dan dasar pelaburan selamat negara serta program ganjaran pepijat.
Sekretaris DICT, Henry Aguda, malah turut menghadiri persidangan penggodaman Rootcon tahun lalu untuk mempromosikan perkembangan ini, dengan menyatakan bahawa para penggodam negara seharusnya menggunakan kemahiran mereka “untuk melindungi, bukannya untuk merosakkan.”
Dengan itu, pelaksanaan Dasar Pelaburan Selamat dan Program Ganjaran Pepijat (SHPBBP) diharapkan menjadi berita gembira bagi mereka yang memiliki kemahiran yang tepat, kerana program ini bertujuan untuk memberi galakan kepada pelaporan keselamatan siber secara bertanggungjawab terhadap perkhidmatan kerajaan.
Mari kita lihat apa maksud semua ini, terutama jika anda belum pernah mendengar tentang perkembangan ini.
Penggodam etika, ganjaran pepijat, dan dasar pelaburan selamat
Penggodaman etika ialah proses di mana seorang pakar keselamatan siber, juga dikenali sebagai penggodam topi putih, mengenal pasti dan membantu memperbaiki kelemahan dalam aplikasi, sistem, atau teknologi sebelum kelemahan tersebut dapat disalahgunakan oleh penggodam tidak bertanggungjawab, atau penggodam topi hitam.
Oleh itu, penggodaman etika mensimulasikan serangan siber sebenar untuk menilai risiko sesuatu sistem, supaya sistem yang ada dapat diperbaiki atau diperkukuh dari segi keselamatan.
Bagi menjadikan penggodaman etika lebih bermakna dan menguntungkan bagi penggodam topi putih, program ganjaran pepijat merupakan struktur organisasi yang ditubuhkan untuk menilai dan menawarkan ganjaran kewangan bagi usaha mengesan serta melaporkan kelemahan secara bertanggungjawab kepada pihak yang membangunkan sistem yang digodam. Tujuannya adalah untuk meningkatkan tahap keselamatan sistem tersebut.
Program ganjaran pepijat biasanya dilengkapi dengan perlindungan bagi para penggodam agar mereka dapat menjalankan tugas dengan selamat.
Dasar pelaburan selamat ini direka bentuk untuk melindungi penggodam topi putih atau penyelidik keselamatan daripada sebarang tanggungjawab pentadbiran, sivil, mahupun jenayah sekiranya mereka menemui sesuatu semasa proses mengesan pepijat, selagi mereka melaporkan hasil penyelidikan mereka dengan betul mengikut butiran spesifik program ganjaran pepijat yang berkenaan.
Apakah tujuan Surat Edaran SHPBBP DICT?
SHPBBP DICT menetapkan perlindungan dan keperluan yang perlu dipenuhi untuk menyertai program ganjaran pepijat DICT.
Mungkin anda tertanya-tanya, adakah sesiapa sahaja boleh menyertai program ganjaran pepijat?
Menurut surat edaran DICT, sekurang-kurangnya anda perlu menjadi penyelidik keselamatan siber profesional untuk menyertai program ini. Anda juga perlu mendaftar diri melalui prosedur Kenali Kontributor Anda (KYC) untuk layak menerima ganjaran daripada program ganjaran pepijat.
Namun begitu, surat edaran tersebut menyatakan bahawa ia terpakai kepada:
- Semua agensi kerajaan persekutuan di bawah Cabang Eksekutif, termasuk Korporat Milik dan Dikuasai Kerajaan serta anak-anak syarikatnya, Institusi Kewangan Kerajaan, dan Universiti serta Kolej Negeri, termasuk yang berdomain *.gov.ph serta platform yang dikendalikan DICT;
- Kongres Filipina, Badan Kehakiman, Suruhanjaya Berperlembagaan Bebas, Pejabat Ombudsman, serta Unit Kerajaan Tempatan amat digalakkan untuk mengambil langkah mengadopsi surat edaran ini;
- Entiti swasta yang secara sukarela menyertai Program Perkongsian Keselamatan Siber Awam-Swasta DICT;
- Pengendali Infrastruktur Maklumat Kritikal (CII), seperti yang dikenal pasti dalam Rancangan Keselamatan Siber Negara (NCSP); dan
- Penyelidik Keselamatan Siber yang bertanggungjawab mengenal pasti dan menganalisis potensi ancaman terhadap rangkaian dan sistem sesuatu organisasi.
Sementara itu, perlindungan pelaburan selamat hanya akan terpakai jika anda ialah penyelidik keselamatan yang hanya menguji sistem-sistem yang telah dinyatakan dalam skop program ganjaran pepijat; anda tidak melakukan sebarang aktiviti eksploitasi data tanpa kebenaran, mengubah suai, atau mengganggu perkhidmatan; anda melaporkan kelemahan secara bertanggungjawab dan secara sulit kepada DICT atau entiti yang dibenarkan; serta anda mengekalkan kerahsiaan terhadap temuan anda dan tidak mendedahkannya sehingga isu yang anda temui telah diselesaikan atau anda dibenarkan untuk membincangkannya secara terbuka.
Bagaimana semua ini berfungsi?
Mungkin anda ingin tahu bagaimana perkara ini berlaku dalam amalan sebenar. Secara umumnya, inilah cara ia beroperasi:
Penyelidik keselamatan membuat permohonan untuk menyertai inisiatif DICT melalui prosedur Kenali Pelanggan Anda yang disebutkan di atas. Mereka perlu melengkapkan keseluruhan proses dan diterima untuk layak menerima ganjaran tunai. Konflik kepentingan – misalnya, kakitangan DICT dan pembekal perkhidmatan pihak ketiga yang bekerjasama dengan DICT – akan menyebabkan pemohon tidak layak menyertai program ganjaran pepijat ini.
Program ganjaran pepijat akan menetapkan jumlah ganjaran berdasarkan keperluan entiti yang menyertainya, iaitu agensi kerajaan yang memerlukan bantuan, atau rakan kerajaan yang ingin menawarkan ganjaran sendiri. Peruntukan untuk menjayakan surat edaran ini “akan dibebankan ke atas bajet sedia ada agensi atau institusi yang terlibat, serta sumber kewangan lain yang sesuai yang dapat dikenal pasti oleh Jabatan Belanjawan dan Pengurusan, selaras dengan undang-undang, peraturan, dan garis panduan yang berkenaan.”
Ganjaran-ganjaran ini – termasuk laman web atau perkhidmatan yang perlu diuji, serta aspek-aspek tertentu dalam laman web dan perkhidmatan tersebut – akan disenaraikan di portal program pelaporan kelemahan (VDPP), sebuah laman web yang didedikasikan untuk mengesan pepijat dan melaporkannya. Portal ini dihos dan diselenggara oleh Biro Keselamatan Siber DICT.
Kelemahan dan isu yang dilaporkan dengan betul kepada VDPP boleh dikategorikan mengikut empat senario keselamatan: Kritikal, Tinggi, Sederhana, dan Rendah, dengan bayaran yang berbeza-beza mengikut kadar industri, bergantung pada laporan dan tahap keparahannya.
Biro Keselamatan Siber DICT akan mengesahkan laporan-laporan tersebut, dan bagi mereka yang laporan mereka telah disahkan, DICT akan memberikan “sijil/penyertaan yang sesuai sebagai pengiktirafan atas sumbangan penyelidik dalam melaporkan dan/atau
menyelesaikan kelemahan yang telah disahkan.” Entiti sektor swasta yang menyertai program ini, selepas berkoordinasi dengan Biro Keselamatan Siber DICT, boleh memberikan ganjaran kewangan atau insentif yang sesuai berdasarkan mekanisme insentif terstruktur yang ditetapkan dalam VDPP.
Selain ganjaran kewangan, penyertaan dalam program ini juga membawa pengiktirafan apabila laporan yang bertanggungjawab mendapat perhatian kerajaan. Ganjaran tersebut termasuk sijil digital dan cetak, pengiktirafan awam di VDPP, serta penyenaraian dalam kutipan DICT yang lain, seperti yang dinyatakan dalam surat edaran.
Perkembangan yang sangat diperlukan
Program ganjaran pepijat nasional yang mempunyai peraturan yang jelas untuk mengikuti proses ini merupakan berita baik dan satu perkembangan yang sangat diperlukan dalam bidang keselamatan siber, kerana program ini diharapkan dapat memberi galakan kepada penggodaman etika dalam jangka masa panjang sambil memperbaiki sistem kerajaan pada masa kini.
Jika anda baru menceburkan diri dalam bidang keselamatan siber, program ini boleh menjadi satu cara yang baik untuk memasuki industri ini, selagi anda tahu apa yang anda lakukan dan melaksanakan kerja yang diperlukan untuk melaporkan secara bertanggungjawab.
Sila rujuk surat edaran yang dipautkan di sini untuk maklumat lanjut dan sertailah program ini. Anda mungkin dapat membantu melindungi keselamatan kerajaan daripada pihak-pihak yang tidak bertanggungjawab. – Rappler.com
/Anda Mungkin Juga Suka
Protes Terhadap ICE: Ribuan Orang Berhimpun di Minnesota dan Seluruh Amerika Syarikat
Di Minnesota dan seluruh Amerika Syarikat, ribuan orang turun ke jalan untuk menyatakan bantahan terhadap agensi Imigresen dan Kawalan Sempadan (ICE). Demonstrasi ini berlangsung sebagai tindak balas terhadap dasar-dasar imigresen yang dilihat menekan komuniti migran serta mengancam kestabilan sosial.
Peserta demonstrasi menyeru agar pihak berkuasa memperbetulkan kekurangan dalam pengendalian kes-kes imigresen, termasuk peningkatan perlindungan bagi golongan yang terjejas akibat pelaksanaan undang-undang imigresen yang ketat. Mereka juga menuntut agar hak asasi manusia bagi semua warga negara, tanpa mengira status imigresen, sentiasa dijunjung tinggi.
Demonstrasi ini mencerminkan kebimbangan yang semakin meningkat dalam kalangan rakyat Amerika Syarikat terhadap isu-isu berkaitan imigresen, terutama selepas beberapa insiden yang melibatkan penahanan dan deportasi secara paksa. Para peserta menegaskan bahawa perubahan mendesak diperlukan untuk memastikan sistem imigresen yang lebih adil dan inklusif.
Sementara itu, pihak berkuasa tempatan dan organisasi masyarakat sivil telah mengambil langkah untuk menyokong para peserta dengan memberikan bantuan undang-undang dan sokongan moral. Pada masa yang sama, beberapa kumpulan politik turut menyatakan sokongan mereka terhadap gerakan ini, sekali gus menambah tekanan kepada kerajaan untuk mengambil tindakan segera.
Perkembangan ini menunjukkan bahawa isu imigresen bukan sahaja menjadi isu domestik, tetapi juga satu isu global yang membabitkan kepentingan bersama antara negara-negara. Dengan sokongan daripada pelbagai lapisan masyarakat, demonstrasi ini dijangka akan terus berkembang, sekali gus menjadi platform penting bagi membentuk landskap politik dan sosial pada masa hadapan.
/
PI Network: Pemindahan Hampir 150 Juta Pi dalam Tempoh Dua Hari Sahaja – Apakah Maksudnya bagi Masa Depan PI Network?
Pi Network, sebuah projek blockchain yang berfokus pada penggunaan telefon pintar sebagai platform untuk mendapatkan mata wang digital, telah mencatatkan satu pencapaian luar biasa dengan pemindahan hampir 150 juta unit Pi dalam tempoh dua hari sahaja. Ini bukan sahaja menunjukkan minat yang sangat tinggi terhadap ekosistem Pi Network, malah memberikan petanda bahawa projek ini mungkin sedang mengalami pertumbuhan yang pesat dan stabil.
Sejak pelancaran Pi Network pada tahun 2019, projek ini telah menjadi perbincangan hangat dalam kalangan komuniti kripto global. Dengan model ekonomi yang unik – di mana pengguna boleh mendapatkan Pi secara percuma melalui aplikasi mudah alih – Pi Network telah berjaya menarik lebih daripada 20 juta pengguna aktif setakat ini. Namun, pemindahan besar-besaran ini menunjukkan bahawa kepercayaan dan sokongan terhadap Pi Network semakin meningkat, sekali gus membuka peluang baharu untuk memperkukuh kedudukan projek tersebut dalam dunia kripto.
Bagaimana pula dengan masa depan Pi Network? Pemindahan sebesar ini bukan sahaja menunjukkan potensi besar projek ini, tetapi juga menimbulkan beberapa persoalan penting:
- Adakah pemindahan ini disebabkan oleh peningkatan nilai Pi? Walaupun Pi Network tidak memiliki pasaran perdagangan rasmi, kepercayaan pengguna terhadap projek ini semakin meningkat, dan ini mungkin menyebabkan lebih ramai pengguna beralih kepada Pi sebagai aset digital yang bernilai.
- Apakah langkah-langkah yang akan diambil oleh Pi Network untuk menguruskan pertumbuhan ini? Dengan jumlah pengguna yang semakin meningkat, Pi Network perlu memastikan infrastruktur mereka dapat menampung permintaan yang semakin tinggi, termasuk peningkatan keselamatan sistem dan pengurusan pengguna.
- Apa implikasi bagi pengguna Pi Network? Bagi pengguna yang telah berjaya mendapatkan Pi, pemindahan ini mungkin memberikan peluang untuk menjual atau menukar Pi kepada aset lain, namun ia juga menuntut pengguna untuk sentiasa peka terhadap perkembangan terkini projek ini.
Dalam dunia kripto yang sentiasa berubah, pemindahan sebesar ini adalah satu petanda bahawa Pi Network bukan sekadar projek yang berpotensi, tetapi juga sebuah projek yang sedang berkembang dengan pantas. Walau bagaimanapun, kejayaan Pi Network bergantung sepenuhnya kepada usaha komuniti dan sokongan pengguna. Oleh itu, sama-sama kita nantikan bagaimana Pi Network akan terus membangunkan dirinya dalam tempoh yang akan datang.
Disclaimer: Maklumat yang diberikan dalam artikel ini adalah untuk tujuan maklumat umum sahaja. Sebarang keputusan pelaburan atau tindakan yang diambil berdasarkan maklumat ini adalah tanggungjawab pembaca sendiri. Pi Network tidak bertanggungjawab atas sebarang kerugian atau kehilangan yang dialami akibat penggunaan maklumat ini.
/
- Adakah pemindahan ini disebabkan oleh peningkatan nilai Pi? Walaupun Pi Network tidak memiliki pasaran perdagangan rasmi, kepercayaan pengguna terhadap projek ini semakin meningkat, dan ini mungkin menyebabkan lebih ramai pengguna beralih kepada Pi sebagai aset digital yang bernilai.
- Apakah langkah-langkah yang akan diambil oleh Pi Network untuk menguruskan pertumbuhan ini? Dengan jumlah pengguna yang semakin meningkat, Pi Network perlu memastikan infrastruktur mereka dapat menampung permintaan yang semakin tinggi, termasuk peningkatan keselamatan sistem dan pengurusan pengguna.
- Apa implikasi bagi pengguna Pi Network? Bagi pengguna yang telah berjaya mendapatkan Pi, pemindahan ini mungkin memberikan peluang untuk menjual atau menukar Pi kepada aset lain, namun ia juga menuntut pengguna untuk sentiasa peka terhadap perkembangan terkini projek ini.
Siapa yang Perlu Mendaftar sebagai Pembayar Cukai VAT di Poland?
Poland menetapkan beberapa kategori individu dan perusahaan yang wajib mendaftar sebagai pembayar cukai VAT. Ini termasuk:
- Perniagaan dengan Pendapatan Tahunan Melebihi Had Tertentu: Jika pendapatan tahunan perniagaan anda melebihi jumlah yang ditetapkan oleh pihak berkuasa cukai, anda diwajibkan untuk mendaftar.
- Perniagaan yang Menyediakan Perkhidmatan atau Barangan kepada Pelanggan di Luar Poland: Sekiranya perniagaan anda menyediakan produk atau perkhidmatan kepada pelanggan di luar negara, anda perlu mendaftar sebagai pembayar cukai VAT.
- Perniagaan yang Melibatkan Transaksi Antarabangsa: Jika perniagaan anda melibatkan transaksi antarabangsa, seperti eksport atau import, anda juga perlu mendaftar.
- Perniagaan yang Memerlukan Penghantaran Produk ke Poland: Jika perniagaan anda menghantar produk ke Poland, anda perlu mendaftar sebagai pembayar cukai VAT.
Penting untuk memahami bahawa keperluan ini boleh berubah mengikut peraturan cukai yang terkini. Oleh itu, disarankan agar anda sentiasa memeriksa dengan pihak berkuasa cukai Poland untuk maklumat terkini.
Sebagai langkah awal, sila hubungi pegawai cukai tempatan atau gunakan platform dalam talian yang disediakan oleh pihak berkuasa cukai untuk mendapatkan maklumat lanjut mengenai proses pendaftaran.
/
- Perniagaan dengan Pendapatan Tahunan Melebihi Had Tertentu: Jika pendapatan tahunan perniagaan anda melebihi jumlah yang ditetapkan oleh pihak berkuasa cukai, anda diwajibkan untuk mendaftar.
- Perniagaan yang Menyediakan Perkhidmatan atau Barangan kepada Pelanggan di Luar Poland: Sekiranya perniagaan anda menyediakan produk atau perkhidmatan kepada pelanggan di luar negara, anda perlu mendaftar sebagai pembayar cukai VAT.
- Perniagaan yang Melibatkan Transaksi Antarabangsa: Jika perniagaan anda melibatkan transaksi antarabangsa, seperti eksport atau import, anda juga perlu mendaftar.
- Perniagaan yang Memerlukan Penghantaran Produk ke Poland: Jika perniagaan anda menghantar produk ke Poland, anda perlu mendaftar sebagai pembayar cukai VAT.
- Perusahaan atau perniagaan yang mencapai jumlah jualan tahunan melebihi had tertentu: Had ini ditetapkan oleh pihak berkuasa cukai Poland dan boleh berbeza mengikut jenis perniagaan serta sektor industri.
- Individu yang menjalankan aktiviti perniagaan secara profesional: Ini merangkumi mereka yang menjalankan perniagaan secara aktif dan berterusan, sama ada secara sendiri mahupun melalui syarikat.
- Perniagaan yang mempunyai kehadiran fizikal di Poland: Sekiranya perniagaan anda mempunyai cawangan, pejabat, atau lokasi operasi di Poland, anda juga diwajibkan untuk mendaftar sebagai pembayar cukai VAT.
- Pengisian dan penghantaran penyata cukai tepat pada masanya: Anda perlu mengisi dan menghantar penyata cukai VAT setiap bulan atau suku tahun, bergantung pada jenis perniagaan dan keperluan pihak berkuasa cukai.
- Pematuhan terhadap kadar cukai yang berlaku: Kadar cukai VAT di Poland adalah 23%, namun terdapat pengecualian bagi barangan dan perkhidmatan tertentu.
- Pengurusan rekod perniagaan yang rapi: Semua transaksi perniagaan perlu direkodkan dengan teliti untuk memastikan ketelusan dan kepatuhan kepada undang-undang cukai.