Exploit broker Zerodium, OpenBSD, FreeBSD, NetBSD gibi UNIX tabanlı işletim sistemlerinde sıfır gün açıkları için 500.000$‘a kadar ödüller sunuyor, üstelik bu ödüllere Ubuntu, CentOS, Debian ve Tails gibi Linux dağıtımları da dahil edilmiş durumda.
Zerodium sıfır gün açıklarını satın alması ve onları devlet kurumlarına ve yasa uygulayıcı kurumlara satmasıyla biliniyor. Şirket, web sitesi üzerinden düzenli olarak sıfır gün açıkları satın alma programı yürütüyor. Ancak, belirli bir kategorinin sıfır gün açıklığına ihtiyaç duyduğunda, bu kategorideki özel sürücüler daha önemli bir hal alıyor ve dolayısıyla buna bağlı olarak kazanılan ödüller daha fazla oluyor.
BSD sıfır-gün ödülleri Linux ödemeleri ile eşit olacak
ABD merkezli şirket, Şubat ayında Linux sıfır gün açığı ödüllerini arttırmış ve ödüller 45.000$ gibi yüksek bir seviyeye ulaşmıştı. Bu hafta başında Twitter’da duyurulduğu bir başka sıfır gün açıklığı satın alma işleminde, Linux sıfır gün açıklarını tekrar aradığını, ve aynı zamanda bu ödülün BSD sistemlerini hedef alan istismarlar için de geçerli olduğunu söyledi. Bu kez, ödüller 500.000$’a kadar çıkmakta.
Zerodium, basına yapmış olduğu açıklamada BSD sistemleri için yapacakları ödemeleri Linux dağıtımları için yapılmış ödemeler ile benzer miktarlarda olacağını söyledi.
Linux ayrıcalık yükselme istismarları için şirketin şu andaki mevcut ödemeleri 10,000$ ile 30.000$ arasında değişmekte. Ancak yerel ayrıcalık yükseltme (LPE) ödülleri ise, örneğin, tüm önemli dağıtımları etkileyen bir Linux çekirdeği istisnası gibi, “olağanüstü kalitesi ve kapsamı olan bir istismarı için” 100.000$‘a ulaşabilmektedir.
Linux uzaktan kod çalıştırma (RCE) istismarları için ödemeler, hedeflenen yazılım / hizmet ve pazar payına bağlı olarak 50.000$ ‘dan 500.000$ ‘a kadar değişmekte, en yüksek ödüller genellikle CentOS ve Ubuntu dağıtımlarını etkileyen LPE’ler ve RCE’ler için verilmektedir.
Sıfır gün açıklık fiyatı sömürü zincirine göre değişmekte
Zerodium’da sunulan bir sıfır gün açık fiyatı doğrudan kullanıcı etkileşimi (tıklama, tek tıklama, iki tıklama vb.) açısından gereksinimlere bağlı olarak değişmektedir. Fiyatı etkileyen diğer etkenler arasında, istismarın güvenilirliği, başarı oranı, final çalışması için bir araya getirilen güvenlik açıklarının sayısı (daha fazla zincirleme hatası, istismarın beklenmedik şekilde kırılması için daha fazla şans anlamına geliyor) ve istismarın çalışması için gereken işletim sistemi yapılandırması gibi (açıklık varsayılan işletim sistemi yapılandırmasına ile çalışırlarsa, değeri daha fazla olması gibi) etkenler yer alıyor.
BSD sistemlerini hedefleyen bu yeni açıklık satın alma sürecinden önce Zerodium, geçmişte iOS 9, iOS 10, Adobe Flash Player, mobil IM uygulamaları, Tor Browser, web barındırma yazılımı, Microsoft Outlook, Android ve diğer Linux yazılımları için de özel açıklık satın almaları yapmıştı.
Şirket, 2015 yılında iOS’un sıfır gün açıklığı için 1.5 milyon dolara varan fahiş ödüller sunarak piyasada kendisini sağır sultana bile duyurmuştu. Bu ödüller artık şirketin standart fiyat tablosunun bir parçası haline geldi. Örneğin iPhone cihazlarını hedefleyen remote jailbreak 1,5 milyon dolar değerindedir.
Aşağıdaki tablolarda sunucu, masaüstü ve mobil sistemler için genel fiyatlar yer almaktadır.
Sunuculardaki sıfır gün açıklıkları “olağanüstü miktarlara ulaşabilir”
Zerodium kurucusu Chaouki Bekrar, internette bir haber sitesine e-posta yoluyla verdiği demeçte, “Sistemler arasındaki fiyat farkı çoğunlukla pazar paylarından kaynaklanmaktadır. Örneğin; Masaüstü ortamlar için, Windows piyasaya öncülük ederken, Windows için ödüller genellikle Linux’tan daha fazla olabiliyor; Fakat sunucu ortamları için, Linux müşterileri daha fazla ilgi gösteriyor ve Linux’a verilen ödüller olağanüstü miktarlara ulaşabiliyor.” dedi.
Bekrar e-postasında sözlerine şöyle devam etti: “Açık bir şekilde, mobil sömürüler, pazar penetrasyonu ve operasyonel bir perspektiften faydalanmaları nedeniyle sektörümüzde hala en pahalı ve en değerli varlıklar olmaya devam ediyor.” dedi.
Artan ödüller ve bu yazılım edinme sürecinin arkasındaki mantık hakkında ise; “Amacımız her zaman, her büyük yazılım, donanım veya işletim sistemi için iki veya daha fazla tam işlevli kötü açıklığa sahip olmaktır. Bu amaçla, zaman zaman sosyal medyayı kullanarak yeni bir yazılım elde etmek için, belirli bir yazılımı veya sistemi destekleyeceğimiz anlamına geliyor. Mevcut yeteneklerimizi ancak yeni kodlar ile güçlendirebilir, genişletebilir; müşterilerin özel taleplerine ve operasyonel ihtiyaçlarına daha hızlı cevap verebiliriz.” dedi.
Her geçen gün daha kalabalık bir pazar haline geliyor
Zerodium, 2015 yılında herkesin dikkatini aracılık komisyonculuğu pazarına çektiğinden beri, piyasa giderek daha fazla kalabalıklaşmaya başladı. Her gün yeni bir şirket veya marketler kurulmakta pazar giderek hem say olarak hem de işlem hacmi olarak büyümektedir.
Sıfır-gün aracılık pazarına giren son şirket: son zamanlarda 10 milyon dolarlık ödüllerle bir satın alma programı başlatan ve bunun için araştırmacılara hali hazırda 4,5 milyon dolar ödeyen Crowdfense’dir.
Kontrol ve denetimin olmaması sonucu pazardaki şirketlerin bazıları baskıcı ya da diktatör rejimlere sahip ülkelere veya hükümet kurumlarına sıfır-gün açığı satmakla suçlanmaktadırlar.
Yorum yazabilmek için oturum açmalısınız.