Siber güvenlik dünyasında firmaların korkulu rüyası olan ‘Sıfır Gün Saldırısı’ geliştiren hacker’lara ödül vaat eden Zerodium firması, iOS cihazlara sızmayı başaran hacker’lara 1 milyon dolar ödeyeceğini açıkladı. Sıfır Gün Saldırılarına odaklanan firma, iOS 9’ı hedef alacak saldırı geliştirecek hacker gruplarına toplamda 3 milyon dolar vaat etmişti.
Sıfır Gün Saldırıları, henüz tespit edilmeyen güvenlik açıkları kullanılarak düzenlenen siber saldırılar olarak biliniyor. Zerodium, iOS’a yönelik Sıfır Gün Saldırısı geliştirmek için yarışan son iki ekipten bir tanesinin, iPhone ve iPad’lere sızabilen yöntem geliştirdiğini açıkladı.
1 milyon doları kazanan ekip, iOS cihazları özel tasarlanmış bir web sitesine yönlendiren yöntem geliştirdi. Zerodium ‘Remote Jailbreak’ adını verdiği yöntemin, iPhone kullanıcılarını kendi telefonlarına kötü amaçlı yazılım yüklemeye yönelttiğini belirtti.
Zerodium, bitiş süresi 31 Ekim olarak belirlenen yarışmanın kazananı olan yöntemi, detaylı olarak sunacak. Firma, böylece Sıfır Gün Saldırılarına karşı önlem almak isteyen savunma, teknoloji ve finans gibi sektörleri bilgilendirmeyi amaçladıklarını öne sürdü. Zerodium CEO’su Chaouki Bekrar, tespit edilen saldırının giderilmesi için Apple’a da bilgi verileceğini de söyledi.
Sıfır Gün Saldırıları ortaya çıkaran bir firma olarak bilinen Zerodium, iOS’u hedef alan Sıfır Gün Saldırısı’nın Safari mi yoksa Chrome tarayıcısı üzerinden mi gerçekleştiğini açıklamadı. Apple da konu hakkında henüz bir açıklama yapmış değil.
Zero Day pazarı kime çalışıyor?
Wired’da yer alan haberde dikkat edilmesi gereken nokta, Zerodium CEO’su Chaouki Bekrar’ın bir zamanlar NSA ve NATO’ya siber saldırı yöntemleri satmakla eleştirilen Fransa merkezli Vupen’in kurucusu olması.
İtalya merkezli Hacking Team’in uğradığı siber saldırının ardından ortaya çıkan bilgiler, hacking yöntemleri geliştiren firmaların devletlerle yakın ilişkileri olduğunu göstermişti. Çok yüksek miktarda paraların döndüğü piyasada söz konusu firmaların Darknet’teki kara borsalarla ilişkisi olduğundan şüphelenmemek çok güç.
Bekrar, Vupen hakkındaki eleştiriler hatırlatıldığında ‘Zerodium olarak yasadışı bir işlem yapmadıklarını ve ortaya çıkarılan iOS açığının sadece ABD’li müşterilere satılacağı’ cevabını verdi. Bekrar ikna edici olmak için ‘kırılması mümkün olmadığı düşünülen iOS’in zafiyetlerini kamuoyuna sunmayı istediklerini’ belirtti.
Threatpost sitesine 2012’de röportaj veren Bekrar, Zerodium’un sadece Sıfır Gün Saldırıları satın aldığını ve ürünlerini de sadece demokrasilere sattıklarını, aynı zamanda ‘uluslararası düzenlemelere uygun davrandıklarını ve baskıcı değil, sadece güven duyulan ülke ve demokrasilere satış yaptıklarını’ söylemişti.
Bekrar, BM ülkeleri ve ABD’de yaşayan güvenlik araştırmacıları tarafından bulunacak açıklar için de ödül verdiklerini belirtmişti.
Birkaç yıl öncesinden iOS 9’a kadar uzanan kısa değerlendirme, Zerodium gibi firmalar hakkında birkaç detayı net bir şekilde gözler önüne seriyor.
İlki, 1 milyon dolar ödeyerek elde ettikleri güvenlik bilgisini Apple’dan bireysel kullanıcılara, devletlerden hacker’lara kadar satarak 100 milyon dolar veya üzerine çevirebilirler. İkincisi de Vupen, Hacking Team ve Zerodium gibi firmaların Darknet’te daha büyük işlemler çevirmediğini, Bekrar’ın bahsettiği yasallığın dışına çıkmadıklarını dışarıdan anlamak mümkün olamaz.
Tabii ki bu Zerodium’un yasadışı faaliyetler yaptığı anlamına gelmiyor. Tersine firma oldukça açıklayıcı web sayfasında kamuoyundan saklı olmayan işlemler gerçekleştirdiğini ortaya koyuyor.
Lafın kısası, ‘data is the new oil.’ Yani, veri artık petrol yerine geçiyor.