Sıfırıncı Gün Açıklarını Bize Satın!

0
467
Sıfırıncı-Gün-Açıklarını-Bize-Satin
İsrail'den Sıfırıncı Gün Mektubu: "Açıklarını Bize Satın"

Sıfırıncı Gün Açığı, yani Zero-day diğer tabirleriyle “Oday” veya “Zer0day” nedir?

“Sıfırıncı gün açıkları”nı bir sistem üzerinde keşfedilip, üretici/geliştiricisinin dahi henüz bilmediği güvenlik açıkları olarak tarif etmek mümkün.

2014 yılının Nisan ayında tespit edilen Heartbleed güvenlik açığı bir güvenlik zafiyetiydi. Çoğu sunucu tarafından kullanılan “OpenSSL” açık kaynak kodlu bir sistem olup kütüphanesinde bulunan güvenlik açığı sayesinde; açığı bulan saldırgan sunucuda bulunan diğer sistemlerin kullanıcılarının kişisel bilgileri ve kredi kartı bilgilerine direkt olarak erişim sağlayabiliyordu.

Güvenlik açığı keşfedildikten sonra “OpenSSL Zero Day Vulnerability” diye duyuru yapıldı. Çoğu kişi bunu “Sıfırıncı Gün Açığı” sanmıştı. Ama ABD Ulusal Güvenlik Dairesi (NSA)’nden ayrılan iki çalışan (muhbir) özel bir televizyon kanalında verdikleri röportajda, bu güvenlik açığından NSA’nın uzun bir süredir farkında olduğunu ve bilerek yayınlamadıklarından bahsettiler.

Bir diğer örnek de ise WordPress 4.7 sürümlerinden birisinde aynı olay yaşanmıştı. Güvenlik açığından faydalanan saldırganlar açık kaynak kodlu sistemi kullanan bir çok siteye planlanmış toplu saldırılar düzenlediler. WordPress ekibinin yeni bir sürümü yayınlaması sonucu saldırganların rahat bir şekilde arka kapıdan girmeleri engellenmiştir. Açığın kısa sürede kapatılmaması sonucunda ise özel bir yazılım ile exploit’e dönüştürmektedirler.

Windows XP ya da diğer yazılım ürünlerinin güncelleme desteğinin kesilmesi sonucunda güvenlik açıkları herhangi bir güncelleme ile kapatılamaz ve bu tarz yazılımların açıkları Zero Day Exploit’e dönüşecektir.

Açıkları-bize-satın
İsrailden Sıfırıncı Gün Mektubu: “Açıklarını Bize Satın”

Sıfırıncı Gün Mektubu:

İsrail hükümeti sıfırıncı gün açığı bulan bir çok Amerikali araştırmacıya ve firmaya e-posta yolladı. En kısa yoldan bir şeyi elde edecekseniz, onu direkt olarak istemelisiniz.

2015 yılında uzman kişilere ve şirketlere gönderilen e-postanın içeriği ise şu şekilde: “İsrail Savunma Bakanlığı kendi bünyesindeki emniyet teşkilatları ve güvenlik ajanslarının ihtiyaç halinde kullanabilmeleri için sıfırıncı gün açıkları ile yüksek düzeyde ilgileniyor.”

Motherboard.vice.com sitesinin elde ettiği analizler sonucunda en az beş Amerikan firması bu tarzda e-postalar aldı.

Başka kaynaklar ise daha fazla kişi ya da kuruluşun bu e-postaları daha fazla aldığını ileri sürdü. E-postada hükümetlerin sıfırıncı gün açığı tespit eden, geliştiren ve bundan istifade eden araştırmacılara nasıl yaklaştığını ortaya koyuyor.

Kimliğinin gizli kalması koşuluyla bir kişinin yaptığı konuşma da ise şu ifadelere yer vermiş: “Bu durumun normal olduğuna dair tek bir şey yok. Bu tuhaf şeyin yapılmasındaki amaç ne bilmiyorum.”

Kimliksiz başka bir kaynak ise; “teamüllere son derece aykırı” olarak tanımladı.

Hükümetlerin suçluları, teroristleri ve çocuk tacizcilerini izlemek için zaman zaman hackleme araçlarını kullandığı bir sır değil. Bazen hükümetler kendi bünyelerinde bu tür hackleme araçları geliştirebiliyorlar. Bazen de hükümetler siber güvenlik endüstrisinin en az bilinen ve anlaşılan kısmı olan sıfırıncı gün açıkları geliştirdiklerinden bizzat hizmet satın alabiliyor.

Bundan kısa bir süre önce Birleşik Arap Emirlikleri merkezli araştırma şirketleri Android ve Windows sistemlerindeki Zero Day güvenlik açıklarını bulup paylaşanlara 3 milyon dolar teklif etti.

CEVAP VER

Lütfen yorumunuzu yazınız!
Lütfen isminizi buraya giriniz