Şirketler ürünlerini bilgisayar korsanlarına karşı güçlendirdikçe sıfır gün açıklarının fiyatı artıyor

İzin veren araçlar iPhone’lara ve Android telefonlara sızmak isteyen hükümet korsanları, Chrome ve Safari tarayıcıları gibi popüler yazılımlar ve WhatsApp ve iMessage gibi sohbet uygulamaları artık milyonlarca dolar değerinde – ve son birkaç yılda bu ürünlere ulaşmak zorlaştıkça fiyatları da katlandı. hile.

Pazartesi günü, startup Crowdfense, genellikle “sıfır gün” olarak bilinen bu hackleme araçları için güncellenmiş fiyat listesini yayınladı çünkü bu araçlar, yazılımın yapımcıları tarafından bilinmeyen yazılımdaki yamalanmamış güvenlik açıklarına dayanıyor. Crowdfense ve rakiplerinden biri olan Zerodium gibi şirketler, bu sıfır günleri, suçluları takip etmek veya casusluk yapmak için bilgisayar korsanlığı araçlarına ihtiyaç duyduklarını iddia eden, genellikle devlet kurumlarına veya devlet yüklenicilerine olmak üzere diğer kuruluşlara yeniden satmak amacıyla edindiklerini iddia ediyor.

Crowdfense şu anda iPhone’lara izinsiz giriş için sıfır gün için 5 ila 7 milyon dolar, Android telefonlara izinsiz giriş için sıfır gün için 5 milyon dolara kadar, Chrome ve Safari sıfır günleri için sırasıyla 3 milyon dolar ve 3,5 milyon dolar ve 3 milyon dolar teklif ediyor. WhatsApp ve iMessage sıfır günleri için 5 milyon dolara kadar.

2019’da yayınlanan önceki fiyat listesinde, Crowdfense’in sunduğu en yüksek ödemeler Android ve iOS sıfır günler için 3 milyon dolardı.

Fiyatlardaki artış, Apple, Google ve Microsoft gibi şirketlerin cihazlarını ve uygulamalarını hacklemeyi zorlaştırması nedeniyle ortaya çıkıyor, bu da kullanıcıların daha iyi korunması anlamına geliyor.

Trend Micro ZDI’nın tehdit farkındalığı başkanı Dustin Childs, “Kullandığımız yazılım ve cihaz ne olursa olsun, bundan yararlanmak her geçen yıl daha zor olmalı” dedi. CrowdFense ve Zerodium’dan farklı olarak ZDI, araştırmacılara sıfır gün edinmeleri için ödeme yapıyor ve ardından bunları, güvenlik açıklarının düzeltilmesi amacıyla etkilenen şirketlere rapor ediyor.

Shane Huntley, “Google gibi tehdit istihbaratı ekipleri tarafından daha fazla sıfır gün güvenlik açığı keşfedildikçe ve platform korumaları gelişmeye devam ettikçe, saldırganların ihtiyaç duyduğu zaman ve çaba artıyor ve bu da bulgularının maliyetinin artmasına neden oluyor” dedi. Bilgisayar korsanlarını ve sıfır gün kullanımını izleyen Google’ın Tehdit Analizi Grubu.

Geçen ay yayınlanan bir raporda Google, bilgisayar korsanlarının 2023’te 97 sıfır gün güvenlik açığını kullandığını gördüğünü söyledi. Genellikle sıfır gün komisyoncularıyla çalışan casus yazılım satıcıları, Google ürünlerini ve Android’i hedef alan sıfır günlerin yüzde 75’inden sorumluydu. şirkete göre.

Sıfır gün endüstrisinin içindeki ve çevresindeki insanlar, güvenlik açıklarından yararlanma işinin zorlaştığı konusunda hemfikir.

Sıfır gün piyasası hakkında bilgi sahibi güvenlik analisti David Manouchehri şunları söyledi: “Google’ın Pixel’i ve iPhone gibi zorlu hedeflerin hacklenmesi her yıl daha da zorlaşıyor. Maliyetin zaman içinde önemli ölçüde artmaya devam etmesini bekliyorum.”

Crowdfense araştırma direktörü Paolo Stagno, “Satıcıların uyguladığı hafifletmeler işe yarıyor ve bu, tüm ticareti çok daha karmaşık, çok daha fazla zaman alıcı hale getiriyor ve bu da açıkça fiyata yansıyor” dedi. TechCrunch.

Stagno, 2015 veya 2016’da yalnızca bir araştırmacının bir veya daha fazla sıfır gün bulmasının ve bunları iPhone veya Android’leri hedef alan tam teşekküllü bir istismara dönüştürmesinin mümkün olduğunu açıkladı. Artık birkaç araştırmacıdan oluşan bir ekip gerektirdiğinden “bu şey neredeyse imkansız” dedi ve bu da fiyatların yükselmesine neden oldu.

Crowdfense şu anda Rusya dışında bugüne kadar bilinen en yüksek fiyatları sunuyor; burada Operation Zero adlı bir şirket geçen yıl iPhone ve Android cihazlarını hacklemeye yönelik araçlar için 20 milyon dolara kadar ödeme yapmaya hazır olduğunu duyurdu. Ancak Rusya’daki fiyatlar, Ukrayna’daki savaş ve ardından gelen yaptırımlar nedeniyle şişmiş olabilir; bu da insanları bir Rus şirketiyle iş yapmaktan caydırabilir veya tamamen engelleyebilir.

Kamuoyu dışında hükümetlerin ve şirketlerin daha da yüksek fiyatlar ödemesi mümkün.

“Crowdfense’in araştırmacılara bireysel Chrome için sunduğu fiyatlar [Remote Code Execution] Ve [Sandbox Escape] Açıklardan yararlanmalar, sıfır gün endüstrisinde gördüklerime göre piyasa oranının altında,” dedi daha önce sıfır günleri geliştirmeye ve satmaya odaklanan bir girişim olan Linchpin Labs’ta çalışan Manouchehri. Linchpin Labs, 2018 yılında ABD’li savunma yüklenicisi L3 Technologies (şu anda L3Harris olarak biliniyor) tarafından satın alındı.

Sıfır günleri satın alan İtalya merkezli bir girişim olan Zeronomicon’un kurucusu Alfonso de Gregorio, TechCrunch’a fiyatların “kesinlikle” daha yüksek olabileceğini söyleyerek bunu kabul etti.

Sıfır günler mahkeme onaylı kolluk kuvvetleri operasyonlarında kullanılmıştır. The Washington Post’a göre FBI, 2016 yılında San Bernardino’da 14 kişiyi öldüren tetikçilerden birinin iPhone’una girmek için Azimuth adlı bir startup tarafından sağlanan sıfır günü kullandı. Motherboard, 2020’de FBI’ın – Facebook ve isimsiz bir üçüncü taraf şirketin yardımıyla – daha sonra genç kızları internette taciz etmekten ve şantaj yapmaktan suçlu bulunan bir adamı bulmak için sıfır gün kullandığını ortaya çıkardı.

Ayrıca, insan hakları sicili zayıf olan diğer ülkelerin yanı sıra Etiyopya, Fas, Suudi Arabistan ve Birleşik Arap Emirlikleri’nde sıfır gün ve casus yazılımların insan hakları muhaliflerini ve gazetecileri hedef almak için kullanıldığı iddia edilen birkaç vaka da yaşandı. Yunanistan, Meksika, Polonya ve İspanya gibi demokratik ülkelerde de benzer istismar iddiaları yaşandı. (Ne Crowdfense, ne Zerodium ne de Zeronomicon benzer davalara karışmakla suçlanmadı.)

Sıfır gün komisyoncularının yanı sıra NSO Group ve Hacking Team gibi casus yazılım şirketleri, ürünlerini kötü hükümetlere sattıkları için sıklıkla eleştirildi. Buna cevaben bazıları, müşterilerinin potansiyel suiistimallerini sınırlamak amacıyla ihracat kontrollerine uyma sözü veriyor.

Stagno, Crowdfense’in, şirket Birleşik Arap Emirlikleri’nde yerleşik olsa bile ABD tarafından uygulanan ambargo ve yaptırımlara uyduğunu söyledi. Örneğin Stagno, şirketin ABD yaptırım listelerinde yer alan Afganistan, Belarus, Küba, İran, Irak, Kuzey Kore, Rusya, Güney Sudan, Sudan ve Suriye’ye satış yapmayacağını söyledi.

Stagno, “ABD’nin yaptığı her şeyde biz de işin içindeyiz” dedi ve mevcut bir müşterinin ABD yaptırımlar listesine girmesi durumunda Crowdfense’in bundan vazgeçeceğini ekledi. “ABD tarafından doğrudan yaptırım uygulanan tüm şirketler ve hükümetler kapsam dışındadır.”

En az bir şirket, casus yazılım konsorsiyumu Intellexa, Crowdfense’in özel engelleme listesinde yer alıyor.

Stagno, “Size bunun bizim müşterimiz olup olmadığını ve artık müşterimiz olup olmadığını söyleyemem” dedi. “Ancak şu anda bana göre Intellexa bizim müşterimiz olamaz.”

Mart ayında ABD hükümeti, Intellexa’nın kurucusu Tal Dilian’a ve onun bir iş ortağına karşı yaptırımlar duyurdu; bu, hükümetin casus yazılım sektöründe yer alan bireylere ilk kez yaptırım uygulamasıydı. Intellexa ve ortak şirketi Cytrox’un da ABD tarafından yaptırıma tabi tutulması, hem şirketlerin hem de onu yöneten kişilerin iş yapmaya devam etmesini zorlaştırdı.

TechCrunch’ın bildirdiği gibi bu yaptırımlar casus yazılım endüstrisinde endişelere neden oldu.

Intellexa’nın casus yazılımının ABD Kongre Üyesi Michael McCaul, ABD Senatörü John Hoeven ve Avrupa Parlamentosu Başkanı Roberta Metsola’ya karşı kullanıldığı bildirildi.

Zeronomicon’un kurucusu De Gregorio, şirketin kime satış yaptığını söylemeyi reddetti. Şirket, kendi sitesinde, “insan haklarını ihlal ettiği bilinen kuruluşlarla” iş yapmaktan kaçınmak ve ihracat kontrollerine saygı göstermek amacıyla müşterilerin incelenmesini içeren bir iş etiği kuralları yayınladı.