Rusya merkezli Operation Zero şirketi, Android ve iPhone’larda sıfırıncı gün açıkları bulanlara 20 milyon dolar vereceğini açıkladı.
Sıfırıncı gün açıklarını alan ve satan firma, müşterilerinin Android ve iPhone cihazları hacklemesine olanak tanıyacak 0-day zafiyetlerini keşfeden araştırmacılara 20 milyon dolar ödemeyi teklif etti.
Şirketin X uygulamasındaki resmî hesabından yaptığı paylaşımda sıfırıncı gün açıkları bulanlara yapacağı ödemeleri 200 bin dolardan 20 milyon dolara yükselttiğini duyurdu.
Kolay Erişim
NATO ÜYESİ OLMAYAN ÜLKELERLE TİCARET YAPIYORLAR
Rusya merkezli olan ve 2021’de faaliyete geçen Operation Zero, sıfırıncı gün açıklarını alıp satan çeşitli şirketlerden bir tanesi olarak biliniyor.
Şirketin müşterileri arasında Rus özel şirketler ve hükûmet kurumları olduğu bilinirken şirketin resmî internet sitesinde “NATO üyesi olmayan ülkelerle” ticaret yaptıkları şerhi yer alıyor.
Operation Zero CEO’su Sergey Zelenyuk’a, neden sadece NATO üyesi olmayan ülkelere satış yaptıkları sorulduğunda, “Aşikâr nedenler dışında başka bir sebep yok” açıklamasını yaptı.
Zelenyuk, Operation Zero’nun şu anda sunduğu ödüllerin geçici olabileceğini, belirli ürünlerin fiyatlarının oluşumunun büyük ölçüde sıfırıncı gün piyasasındaki mevcudiyete bağlı olduğunu söyledi.
Zelenyuk ayrıca, “Cep telefonları için olan açıklar şu anda en pahalı ürünler ve çoğunlukla hükûmet aktörleri tarafından kullanılıyorlar. Bir aktör bir ürüne ihtiyaç duyduğunda, bazen diğer tarafların eline geçmeden önce ona sahip olmak için mümkün olduğunca fazla ödeme yapmaya hazır.” ifadelerini kullandı.
Sıfırın da bir değeri var: Zero-day nedir? Nasıl istismar edilir?
Bunun yanı sıra şirketin ödeyecekleri miktarı artırmasının rekabeti sağlamak ve geliştirici ekipleri kendi şirketleriyle çalışmaya teşvik etmek olduğu belirtildi.
GRİ PAZAR: ZERO DAY PİYASASI
En az on yıldır, dünyanın birçok ülkesindeki çeşitli şirketler, hatalar ve kusurlardan yararlanmak için hack tekniklerini satmak isteyen güvenlik araştırmacılarına ödüller teklif ediyor.
Hacker One ya da Bugcrowd gibi geleneksel hata ödül platformlarının aksine, Operation Zero gibi şirketler ürünlerinde güvenlik açığı bulunan satıcıları uyarmıyor, aksine bunları devlet müşterilerine satıyor.
Doğası gereği fiyatların dalgalandığı ve müşterilerin kimliğinin genellikle gizli olduğu gri bir pazar olan sıfırıncı gün piyasasında Operation Zero gibi çeşitli şirketler kamuya açık fiyat listeleri oluşturuyor.
Örneğin 2015’te kurulan bir şirket olan Zerodium, müşterilerin hedeften hiçbir etkileşim almadan bir Android cihazı hacklemesine olanak tanıyan bir açık zincirini 2,5 milyon satıyor. İnternet sitesine göre Zerodium, iOS’ta aynı tür bir açık zinciri için 2 milyon dolara satıyor.
Birleşik Arap Emirlikleri merkezli bir şirket olan Crowdfense, Android ve iOS’ta aynı tür hatalar zincirini 3 milyon dolara satıyor.
YASAL DÜZENLEMELERDEN UZAK
Sıfırıncı gün piyasası büyük ölçüde düzenlenmemiş durumda. Ancak bazı ülkelerde şirketler, faaliyet gösterdikleri hükûmetlerden ihracat lisansı almak zorunda kalabiliyor. Bu süreç esasen belirli ülkelere satış yapmak için izin istemeyi gerektiriyor ve bu izinler kısıtlı olabiliyor.
Söz konusu durum, siyasetten giderek daha fazla etkilenen parçalı bir pazar yaratıyor. Örneğin, Çin’de yakın zamanda kabul edilen bir yasa, güvenlik araştırmacılarının yazılım üreticilerini uyarmadan önce Çin hükûmetini açıklar konusunda uyarmasını zorunlu kılıyor. Uzmanlara göre bu yasa, Çin’in istihbarat amacıyla kullanmak üzere sıfırıncı gün piyasasını ele geçirdiği anlamına geliyor.