Güvenlik zaafiyeti ve istismar satın almak üzere 2015 yılında kurulan Zerodium, geçen hafta yaptığı duyuruda, kullanıcıların isimsiz bir ağa katılmasını ve bu sayede mahremiyetlerin korunmasını sağlayan web tarayıcısı Tor’da bulunan sıfırıncı gün açıklıklarını bildirenlere toplamda 1 milyon dolarlık ödül vereceğini açıkladı.
Geçtiğimiz yıl iPhone’a sızmayı sağlayacak istismarı bulana 1 milyon dolar ödeme yapacağını açıklayarak tartışmalara neden olan şirket, tespit edilen güvenlik zafiyetlerini hükümetteki müşterilerine satmayı planlıyor. Bu şekilde Tor’u uyuşturucu satışı ve çocuk istismarı için kullanan insanları belirleyebileceğini ve “dünyanın hepimiz için daha iyi ve daha güvenli bir yer hâline getirebileceğini” iddia ediyor.
İlgili haber>> “Tor”un açığını keşfedene 4 bin dolar
Windows ve mahremiyet odaklı bir Linux dağıtımı olan Tails işletim sistemindeki açıklıklarının da bulunmasını isteyen şirket, JavaScript’in engellendiği “yüksek” güvenlik önlemlerindeki güvenlik zafiyetlerini bulanlara büyük ödül verecek. Bunun yanı sıra Zerodium, Tor’da JavaScript’in etkin olduğu “düşük” güvenlik ayarlarında istismarların tespitine de büyük miktarda para ödülü vermeye hazırlanıyor.
JavaScript engelliyken hem Windows 10’da, hem de Tails 3.x’de işe yarayan, uzaktan kod çalıştırılmasını ve erişimin arttırılmasını sağlayan zafiyeti tespit edenler, 250.000 dolara kadar ödül kazanabilecek. Bulunan zafiyetin sadece bir işletim sisteminde kullanılması durumunda bile araştırmacıya 200.000 dolara kadar bir ödül verilecek.
JavaScript engelliyken uzaktan kod çalıştıran bir kullanımın tespitiyle 185.000 dolara kadar kazanç sağlanabilir. JavaScript’in etkin olduğu güvenlik açıklıklarında eğer iki durum da tespit edilmişse 125.000 dolara, tek durum tespit edilmişse 85.000 dolara kadar para ödülü alınabilecek. Tek bir işletim sisteminde uzaktan kod çalıştırma tespit eden ise minimum ödül olan 75.000 doları alacak.
Zerodium’un yaptığı açıklamaya göre bu istismarların gizlice çalışması gerekiyor, kullanıcı etkileşimine de sadece özel yapılmış bir sayfanın ziyareti sırasında izin veriliyor. Tor ağının kontrolü ya da yönlendirilmesiyle bulunan zafiyetler ile Tor ağına zarar verecek açıklıklar kabul edilmeyecek.
Zerodium, “Modern sistemlerde güvenlik zafiyetleri daha fazla ve daha etkili bir şekilde engelleniyor. Tarayıcıların güvenlik açıklıklarından yararlanmak her geçen gün daha da zorlaşıyor. Ama ne kadar zor olursa olsun araştırmacılar, yetenekleri ve JavaScript gibi programlar sayesinde tarayıcıları istismar etmenin yeni yollarını geliştirebiliyor” ifadelerini kullandı.
İlgili haber>> CIA, Mac bilgisayarlara sızmanın yolunu bulmuş
Tor Tarayıcı Ödülleri 30 Kasım’a kadar devam edecek. Ancak 1 milyon dolarlık ödenek dağıtılırsa daha erken bir tarihte sona erebilir.
Şirket, ilk kez 1 milyon dolarlık ödül dağıtmıyor. 2015 yılında iOS 9.1 sisteminde bilgisayara bağlı olmayan bir telefonda tarayıcı üzerinden yazılımı kıran bir hacker takımına bu miktarı ödediğini söylüyor.
Zerodium, popüler mesajlaşma ve elektronik posta uygulamalarını etkileyen, uzaktan kod çalıştırma ve erişimin arttırılmasını sağlayacak güvenlik açıklıklarının tespitine 500.000 dolara kadar ödeme yapacağını da geçen ay duyurdu.
Siber Bülten abone listesine kaydolmak için doldurunuz!
