Almanya merkezli otomobil üreticisi Porsche, yeni bir bug bounty programı başlattığını duyurdu.
Firmanın siber güvenlikten sorumlu genel müdürü (CISO) Jörg Möbes sosyal medya üzerinden yaptığı açıklamada, “Müşteri, çalışan ve şirketlerin verilerinin korunması Porsche için en yüksek önceliktedir. Bundan sonra güvenlik önlemleri kapsamında atacağımız adım bug bounty ödül programlarıdır” ifadelerini kullandı.
Bilgisayar sistemlerinin her geçen gün daha fazla kullanılmaya başladığı otomobiller, siber tehdit aktörlerinin de vazgeçilmez hedefleri arasında yer alıyor.
Rusya merkezli Operation Zero şirketi, Android ve iPhone’larda sıfırıncı gün açıkları bulanlara 20 milyon dolar vereceğini açıkladı.
Sıfırıncı gün açıklarını alan ve satan firma, müşterilerinin Android ve iPhone cihazları hacklemesine olanak tanıyacak 0-day zafiyetlerini keşfeden araştırmacılara 20 milyon dolar ödemeyi teklif etti.
Şirketin X uygulamasındaki resmî hesabından yaptığı paylaşımda sıfırıncı gün açıkları bulanlara yapacağı ödemeleri 200 bin dolardan 20 milyon dolara yükselttiğini duyurdu.
NATO ÜYESİ OLMAYAN ÜLKELERLE TİCARET YAPIYORLAR
Rusya merkezli olan ve 2021’de faaliyete geçen Operation Zero, sıfırıncı gün açıklarını alıp satan çeşitli şirketlerden bir tanesi olarak biliniyor.
Şirketin müşterileri arasında Rus özel şirketler ve hükûmet kurumları olduğu bilinirken şirketin resmî internet sitesinde “NATO üyesi olmayan ülkelerle” ticaret yaptıkları şerhi yer alıyor.
Operation Zero CEO’su Sergey Zelenyuk’a, neden sadece NATO üyesi olmayan ülkelere satış yaptıkları sorulduğunda, “Aşikâr nedenler dışında başka bir sebep yok” açıklamasını yaptı.
Zelenyuk, Operation Zero’nun şu anda sunduğu ödüllerin geçici olabileceğini, belirli ürünlerin fiyatlarının oluşumunun büyük ölçüde sıfırıncı gün piyasasındaki mevcudiyete bağlı olduğunu söyledi.
Zelenyuk ayrıca, “Cep telefonları için olan açıklar şu anda en pahalı ürünler ve çoğunlukla hükûmet aktörleri tarafından kullanılıyorlar. Bir aktör bir ürüne ihtiyaç duyduğunda, bazen diğer tarafların eline geçmeden önce ona sahip olmak için mümkün olduğunca fazla ödeme yapmaya hazır.” ifadelerini kullandı.
Bunun yanı sıra şirketin ödeyecekleri miktarı artırmasının rekabeti sağlamak ve geliştirici ekipleri kendi şirketleriyle çalışmaya teşvik etmek olduğu belirtildi.
GRİ PAZAR: ZERO DAY PİYASASI
En az on yıldır, dünyanın birçok ülkesindeki çeşitli şirketler, hatalar ve kusurlardan yararlanmak için hack tekniklerini satmak isteyen güvenlik araştırmacılarına ödüller teklif ediyor.
Hacker One ya da Bugcrowd gibi geleneksel hata ödül platformlarının aksine, Operation Zero gibi şirketler ürünlerinde güvenlik açığı bulunan satıcıları uyarmıyor, aksine bunları devlet müşterilerine satıyor.
Doğası gereği fiyatların dalgalandığı ve müşterilerin kimliğinin genellikle gizli olduğu gri bir pazar olan sıfırıncı gün piyasasında Operation Zero gibi çeşitli şirketler kamuya açık fiyat listeleri oluşturuyor.
Örneğin 2015’te kurulan bir şirket olan Zerodium, müşterilerin hedeften hiçbir etkileşim almadan bir Android cihazı hacklemesine olanak tanıyan bir açık zincirini 2,5 milyon satıyor. İnternet sitesine göre Zerodium, iOS’ta aynı tür bir açık zinciri için 2 milyon dolara satıyor.
Birleşik Arap Emirlikleri merkezli bir şirket olan Crowdfense, Android ve iOS’ta aynı tür hatalar zincirini 3 milyon dolara satıyor.
YASAL DÜZENLEMELERDEN UZAK
Sıfırıncı gün piyasası büyük ölçüde düzenlenmemiş durumda. Ancak bazı ülkelerde şirketler, faaliyet gösterdikleri hükûmetlerden ihracat lisansı almak zorunda kalabiliyor. Bu süreç esasen belirli ülkelere satış yapmak için izin istemeyi gerektiriyor ve bu izinler kısıtlı olabiliyor.
Söz konusu durum, siyasetten giderek daha fazla etkilenen parçalı bir pazar yaratıyor. Örneğin, Çin’de yakın zamanda kabul edilen bir yasa, güvenlik araştırmacılarının yazılım üreticilerini uyarmadan önce Çin hükûmetini açıklar konusunda uyarmasını zorunlu kılıyor. Uzmanlara göre bu yasa, Çin’in istihbarat amacıyla kullanmak üzere sıfırıncı gün piyasasını ele geçirdiği anlamına geliyor.
Siber güvenlik zafiyetlerini bulan ve bu açıkların ayrıntılarını Google’a bildiren kişiler, 2022 yılında şirketin Zafiyet Ödül Programları (VRP) kapsamında rekor bir yıl yaşadı.
Toplamda 2 bin 900’den fazla güvenlik araştırmacısı güvenlik açıklarını bildirerek Google’dan ödül kazanırken Google, bugüne kadarki en yüksek ödeme miktarını gerçekleştirdi.
GOOGLE, MICROSOFT’LA REKABET EDİYOR
Google’ın 2022’deki VRP bug bounty programı, 12 milyon doların üzerinde ödeme gerçekleştirerek rekor bir seviyeye ulaştı. Bu, önceki yıllarda ödenen 8,7 milyon dolarlık zafiyet ödüllerini geride bıraktı. Microsoft’un ödeme miktarıyla rekabet etmek amacıyla, Google ödüllendirme programlarını genişletti ve yeni programlar ekledi.
YUVAL AVRAHAMİ 133 BİN DOLAR KAZANDI
Google’dan en çok ödül kazanan kişi Palo Alto Networks Unit 42 analisti Yuval Avrahami oldu.
Avrahami’nin, Google Kubernetes Engine (GKE) Autopilot’ta bulduğu zafiyetler ve saldırı yöntemleri sayesinde bir saldırganın sistemden kaçması, yetkilendirme düzeyini yükseltmesi ve erişimi korumak için arka kapılar oluşturması mümkün hâle geliyordu.
Google ise Avrahami’yi en büyük ödül olan 133.337 dolarla ödüllendirdi. Sivanesh Ashok ve Sreeram KL, Google Compute Engine’deki SSH anahtar enjeksiyonu ve Google Cloud Workstations’da yetkilendirme atlatma üzerine yaptıkları araştırmalarla 73.331 dolarlık ödül kazandı.
Kubernetes’teki ayrıcalık yükseltme vektörleri ve Azure AKS, Amazon EKS ve Google GKE gibi Kubernetes barındırma sağlayıcılarında bulunan zafiyetler nedeniyle bazı araştırmacılara da 17.311 dolarlık ödül verildi.
BUG BOUNTY PROGRAMLARI ŞİRKETLER İÇİN ÖNEMLİ BİR ROL OYNUYOR
Google ve diğer şirketlerin bu ödüllendirme programları, şirketlerin güvenlik açıklarını hızlı bir şekilde tespit etme ve düzeltme sürecini destekliyor. Bunun yanı sıra bu programlar dijital güvenlik alanında önemli bir rol oynuyor.
ABD Savunma Bakanlığı, Bug Bounty programında tesis kontrol sistemlerine yönelen tehditlere odaklanacağını açıkladı.
Pentagondan yapılan açıklamada bu yıl düzenlenecek Hack The Pentagon 3.0 Bug Bounty programında kritik alt yapı tesislerinin kontrol sistemlerine (Facility Related Controls System (FRCS)) hedefleyen potansiyel saldırılara odaklanacaklarını duyurdu.
Pentagon’un resmi web sitesindeki açıkları bulmak üzere 2016’da başlatılan programa etik hackerlar davet ediliyor. Hackerlar 2018’de ise geniş çapta ve sürekli bir bug bounty avına çağrılmıştı.
Bakanlığın açıklamasında siber güvenlik araştırmacıları ve etik hackerlar FRCS sistemlerini hedefleyen saldırılarda istismar edilebilecek zafiyetlerin tespit etmesi talep edildi. FRCS sistemleri birçok kritik altyapıyı ve güvenlik sistemlerini kapsıyor.
Google, açık kaynaklı projelerinde güvenlik açığını bulana 31 bin dolar ödül verecek.
ABD’li teknoloji devi düzenlediği yeni bir bug bounty yarışması (hata ödül programı) ile açık kaynaklı projelerindeki güvenlik açıklarını bulup bildirenleri ödüllendiriyor. Firma böylece yazılım tedarik zinciri güvenliğini güçlendirmeyi umuyor.
Açık Kaynak Kodlu Yazılım Güvenlik Açığı Ödül Programı (OSS VRP), açık kaynak kodlu güvenlik teknik program yöneticisi Francis Perron ve bilgi güvenliği mühendisi Krzysztof Kotowicz’e göre, hata avcılarına 100 dolar ve 31.337 dolar arasında ödeme yapacak. En yüksek ödemeler “olağandışı ve ilginç güvenlik açıklarını” bulanlara yapılacak.
Öte yandan, Google tarafından sürdürülen Bazel, Angular, Golang, Protocol Buffers ve Fuchsia gibi açık kaynak projelerinin “en hassas”larındaki güvenlik açıklarını bulan ve bildirenleri de büyük ödüller bekliyor.
Bu projeler, internet devinin birçok ürününde kullanılıyor. Örneğin, Google tarafından tasarlanan Go programlama dili, depolama ortamlarına yönelik analizlerde yoğun olarak kullanılırken, Fuchsia OS ise Alphabet’in sahip olduğu Nest de dahil olmak üzere akıllı ev cihazlarına güç veriyor.
2021 DERS OLDU, ÖDÜL PROGRAMLARINA AĞIRLIK VERİLDİ
Tedarik zinciri ve açık kaynaklı yazılım saldırıları açısından önemli bir yıl olan 2021’in ardından, Google’ın en son VPR’si (Güvenlik Açığı Ödül Programı) beyaz şapkalı hackerların tedarik zincirinin tehlikeye girmesine ve ürün güvenlik açıklarına neden olan tasarım sorunlarının yanı sıra sızdırılan kimlik bilgileri, zayıf parolalar ve güvensiz kurulumlara yol açabilecek güvenlik açıklarını tespit etmelerini istiyor.
Perron ve Kotowicz, “Geçen yıl, Codecov ve Log4j güvenlik açığı gibi tek bir açık kaynak güvenlik açığının yıkıcı potansiyelini gösteren önemli olaylar da dahil olmak üzere, açık kaynak tedarik zincirini hedef alan saldırılarda bir önceki yıla göre yüzde 650 artış görüldü” diye yazdılar ve eklediler:
“Google’ın açık kaynak projelerine odaklanan yeni Güvenlik Açığı Ödül Programı, hem Google kullanıcıları hem de dünya çapındaki açık kaynak tüketicileri için bu tür saldırılara karşı tedarik zincirini güvence altına almak da dahil olmak üzere siber güvenliği geliştirmeye yönelik 10 milyar dolarlık yatırım taahhüdümüzün bir parçasıdır.”
Google’ın bu yıl 12.’sini düzenlediği VRP’si yıllar içinde genişledi ve Chrome, Android ve diğer ürün ve projelere odaklanan hata ödülleri eklendi. Bu ayın başlarında, Google’ın Linux çekirdeğindeki hataları açığa çıkarmaları için araştırmacılara ödeme yapan Kubernetes tabanlı capture-the-flag projesi, ödemelerini kalıcı olarak 133.337 $’lık maksimum ödüle yükseltti.
Toplamda, Google geçen yıl çeşitli VPR’lerinde yaklaşık 700 araştırmacıya 8.7 milyon dolar ödül verdi.
BEYAZ SARAY TOPLANTISI SONRASI BUG BOUNTY MİKTARI ARTTI
Bu hamle aynı zamanda özel yazılım şirketlerinin yanı sıra federal hükümetin tedarik zinciri ve açık kaynak güvenliğini geliştirmeye yönelik daha geniş çaplı çabalarının bir parçası.
Mayıs ayında Beyaz Saray’da yapılan bir toplantının ardından Google ve diğer büyük teknoloji şirketleri, açık kaynak ve yazılım tedarik zinciri güvenliğini iyileştirmeye yönelik bir planın uygulanması için 30 milyon doların üzerinde yatırım yapacaklarına dair taahhütte bulunduklarını açıkladılar. Bundan kısa bir süre sonra Google, işletmelerin açık kaynaklı yazılım bağımlılıklarını güvence altına almalarını kolaylaştırmaya çalışan “Assured Open Source Software” adlı bir hizmet duyurdu.
