Zerodium, Amerika ve Avrupa merkezli bilgi güvenliği amacı ile kurulmuş bir şirket. 2015 yılından beri faaliyetlerine bu alanda devam ediyorlar. Bu yazımda hem güvenlik açıkları hem de Zerodium firması ile ilgili edindiğim kısa bilgileri derledim.

Zerodium Nedir?

Zerodium, güvenlik açıklarını araştıran ve bu açıklara ücret ödeyen bir kuruluştur. Özellikle zero-day açıkları ile ilgilenirler ve bu kapsamda fiyat belirlerler. Bu belirlenen fiyat ile hangi sisteme sızmanın daha zor olduğunu da bir nevi görebiliriz.

Bu araştırmayı yaptığım günlerde Candiru ve NSO Group gibi firmaların yapmış olduğu casus yazılımlar gündemdeydi. Özellikle NSO Group’a ait “Pegasus” yazılımı ile telefonuna sızılan birçok kişinin listesi yayınlandı. Bu yazılımlar genel olarak zero-click sistemi ile çalışıyor. Yani kullanıcının herhangi bir yere tıklamasına veya izin vermesine gerek kalmadan yazılım telefonda veya bilgisayarda çalışır hale geliyor. Toronto Üniversitesine bağlı Citizen Lab kurumunun araştırmalarına göre bunu yapmanın farklı birkaç yolu bulunmakta. Yine aynı araştırmaya göre bu yazılımlar sms, telefon görüşmeleri, notlar, takvim, mikrofon erişimi, kamera erişimi, uygulama etkinlikleri gibi geniş bir yetkiye sahip. NSO Group gibi firmalar üretmiş oldukları bu yazılımları belirli ücret karşılığında devletlere satmakta. Bu kapsamda adli bilişim uygulamalarının ardından casusluk uygulamalarında da yine İsrail merkezli firmaların başı çektiği görülüyor.

Güvenlik Açıklarına Ücret Ödenmesi

Zerodium firmasını ilk araştırdığımda insanların neden bir aracı firmaya ihtiyaç duyduğunu merak etmiştim. Bunun ana nedeni insanların açık bulduğu firmaya ulaşamaması. Bazen mail yazsanız da size geri dönüş olmayabiliyor. Bu sebeple insanlar Zerodium gibi aracı firmalara ihtiyaç duyuyor. Zerodium açığı inceliyor ve bu bağlamda bir ücret ödemesi çıkartıyor. Sitelerinde birçok açık için bazı standart fiyatlar bulunmakta. Bu fiyatlarda zaman zaman haber değeri de taşımakta. Örneğin son zamanlarda ilk defa android işletim sistemi için ödenecek tutar ios işletim sistemini geride bıraktı. Burada son android güncellemelerinin etkisi olduğu söyleniyor. Temmuz 2021 tarihinde android işlemine sistemine zero-click ile sızmak için teklif edilen ücret iki buçuk milyon dolar. Ios işletim sistemi için ise iki milyon dolar teklif ediliyor.

Zerodium tekliflerine bakıldığında mobil açıkların masaüstü veya server açıklarını geride bıraktığı da gözüküyor. Birçok alanda olduğu gibi mobil alanın üstünlüğü burada da gözüküyor.

Zerodium firması 2015 yılı ile 2021 yılı arasında bulunan sistem açıklarına toplam 50 milyon dolardan fazla ödeme yaptığını bildirmektedir.

Kaynak1

Kaynak2