İnceleme
Kategoriler
Cep Telefonu
Notebook
Anakart
ADSL Modem
İşlemci
Tablet
Ekran Kartı
Televizyon
Fotoğraf Makinesi
Depolama
Klavye ve Mouse
Giyilebilir Teknoloji
Kulaklık
Ses Sistemi
Oyun İnceleme
Ev Elektroniği
Navigasyon
Son İncelenenler
Anker Soundcore P20i inceleme
Pusat Reflex Pro ve Pusat Reflex Ultra Kablosuz Oyuncu Mouse inceleme
AOC U27B3CF inceleme
Aqara Camera Hub G2H inceleme
PlayStation VR 2 inceleme
vivo V40 & v40 lite inceleme
Huawei WiFi 7 BE3 inceleme
Haber
Kategoriler
Kripto Dünyası
Cep Telefonu
Windows
Sosyal Medya
Oyun ve Eğlence
Bilim
Dijital Fotoğraf
Notebook
Ekran Kartları
Güvenlik
Mobil Uygulamalar
Twitter
Instagram
Facebook
CES 2024
Scooter
Araçlar
Netflix
Gitex 2022
En Son Haberler
Çinli otomobil şirketinin marka elçisi Arda Turan oldu
Kemik iletimli Bluetooth kulaklık nasıl oluyor?
Cyberpunk 2077, daha dördüncü yılı dolmadan yakaladığı başarıyı kutluyor
Squid Game 2. sezon için yeni fragman yayınlandı
Google, Avrupa ülkelerinde yeni arama sonuçlarını test ediyor
Mercedes, şarj sorununu "güneş boyasıyla" çözecek
2024'ün en önemli kelimesi hangisi? Belli oldu...
Forum
CHIP Online
Chip Dergisi
PDF Arşivi
2014
Temmuz
CHIP Dergisi Arşivi: Temmuz 2014 - Sayfa 37
35
36
37
38
39
Kategoriler
İnceleme
Cep Telefonu
Notebook
Anakart
ADSL Modem
İşlemci
Tablet
Ekran Kartı
Televizyon
Fotoğraf Makinesi
Depolama
Klavye ve Mouse
Giyilebilir Teknoloji
Kulaklık
Ses Sistemi
Oyun İnceleme
Ev Elektroniği
Navigasyon
Haberler
Cep Telefonu
Oyun ve Eğlence
Bilim
Notebook
Ekran Kartları
Mobil Uygulamalar
Yapay zeka
Sony Xperia Z3
Xiaomi
Xbox One
Windows 11
Windows 10
TikTok
Sinema
Samsung Galaxy S8
Samsung Galaxy S6
Samsung Galaxy S5
Samsung
Playstation 5
Oyun konsolu
Otomobil
Ofis ve Finans
Note 4
MWC 2018
MWC 2017
MWC 2015
Microsoft
LG G6
LG G5
LG G4
LG G3
İşletim Sistemleri
İş dünyası
iPhone SE
iPhone 7
iPhone 6S
iPhone 6
iOS
Instagram
IFA 2017
HTC One M9
HTC 10
Google
Diziler
Discovery 2
CES 2018
CES 2017
CES 2015
Blockchain ve Bitcoin
Bilgisayarlar
Xbox Game Pass
Xbox Series S/X
Uzay
Android
Forum
© 2024 Doğan Burda Dergi Yayıncılık ve Pazarlama A.Ş.
Yazılım üreticilerinin aksine, serbest piyasadaki alıcılar sadece güvenlik açığı değil, aynı zamanda expolit de arıyor. Exploit'ler zararlı kod yaymakta kullanılabiliyor, o yüzden de siber suçlular için çok cazip. Fakat istihbarat örgütleri ve ordu da exploit'lere gereksinim duyuyor. Sebebi de siber savaşlarda cephane olarak kullanmaları. Buna bir de hacker'lardan ve araştırmacılardan güvenlik açığı ve sıfırıncı gün exploit'i (yani yamasız güvenlik açığı) satın alıp en çok parayı bastırana satan aracıları eklemeli. Böylesi saldırılar için de web sitelerini manipüle etmekte kullanılabilen, böylece web sitesi ziyaretçilerinin bilgisayarındaki kapatılmamış yazılım açıklarını bulabilen ve bilgisayara bu gedikler üzerinden zararlı kod kurabilen exploit'lere ihtiyaç var. Bu piyasadaki risk ise, böylesi exploit'lerden haberdar pek az insanın olması. "O yüzden de yazılım açıkları uzun süre açık kalıyor ve yamayla kapatılmıyor," diyor Symantec'ten Candid Wüest. İşte exploit tüccarları da tam olarak bunlardan para kazanıyor. Bangkok'ta çalışan bir anonim exploit tüccarı olan Grugq, Amerikan Forbes dergisine bir iOS exploit'inin 250.000 ABD doları ettiğini açıkladı. Çin ve Rusya yeteri kadar para ödemediğinden exploit'leri genelde ABD hükümetine sattığını söylüyor. Çin'de sırf hükümete satış yapan çok hacker var, o yüzden de fiyatlar düşük. Grugq gibi yalnız çalışanların dışında, ABD ordusuna yakınlığından kâr eden çok sayıda exploit tüccarı var. Bunlar arasında NSA'nın eski müdürü Kenneth A. Minihan'ın çalıştığı Endgame, silah firmaları Raytheon ve Northrop Grumman ve bir diğer Amerikan şirketi olan Netragard var. Sızma testi konusunda uzmanlaşan, yani firmalar tarafından kendi sistemlerine girip güvenlik açığı araması için kiralanan Netragard'ın mottosu, "Sizi bizim gibilerden koruyoruz." Netragard, 2000 yılında güvenlik araştırmacılardan ve exploit geliştiricilerinden 20.000 doları aşan fiyatla sıfırıncı gün exploit'i satın almak için Exploit Acquisition Program'ı (EAP, yani Exploit Satın Alma Programı) başlattı. "Bu satıcılardan bir şey almamız için önce kimliklerini bildirmeleri ve bize kayıt olmaları gerekiyor," diyor Netragard'ın kurucusu Adriel Desautels. Aynısı müşteriler için de geçerli. "Exploit'leri sadece ABD'li müşterilere satıyoruz," diyor Desautels. "Bize göre başka ülkelere exploit satışı yasal bakımdan sorunlu çünkü bu exploit'ler ülkemize karşı kullanılırsa yardım ve yataklıktan biz de suçlu bulunabiliriz." En zengin alıcı hükümetler Adriel Desautels kimliğini açıklamaktan çekinmeyen çok az exploit tüccarından biri. Ticaretin bu biçimde kontrol altında olmasının yasal olduğunu, hatta exploit'lerin zararlı ellere (örneğin kanunsuz ülkelerden gelenlere) geçmesini engellediğini düşünüyoruz. Fakat Desautels bir istisna çünkü çoğu exploit tüccarı oyunu kendi kuralına göre oynuyor. Fransız firması Vupen, exploit'leri NATO ülkelerinin hükümetlerine ve "NATO ortaklarına" sattığını kabul ediyor. Ancak portföyündeki müşterilerin kim olduğuna ilişkin yorum yapmaktan kaçınıyor. Böylesi şirketler modern çağın silah tüccarları, hatta araştırmacı ve eylemci Chris Soghoian'ın tabiriyle "ölüm taciri" olarak düşünülebilir. Zira endüstriyel sistemlere ya da bir ülkenin altyapısına yönelik saldırıların bedeli halk için büyük olabilir. Hükümet kuruluşlarının rolü de aynı şekilde eleştirel gözle incelenmeli. F-Secure'dan Sean Sullivan "Özellikle bazı hükümetler güvenlik açığı araştırmalarını körüklüyor," diyor. İran'daki Natanz nükleer tesislerine saldırı için üretilen Stuxnet'in 2010'da keşfedilmesinden bu yana, ABD'nin uzak hedeflere saldırı için aktif biçimde siber silah ürettiğini biliyoruz. Fakat diğer ülkeler de boş durmayıp siber savaşa hazırlık EK BİLGİ Exploit satışı Güvenlik açıklarını bilen ve bu açıkları kullanan programlara sahip olanlar serbest piyasada akıl almaz paralar kazanabiliyor Yazılım üreticileri ne ödüyor? Hata Ödülü programları yazılım üreticileri programlarındaki bilinmeyen hatalardan haberdar eden hacker'ları ödüllendiriyor Gizli servislerin ve ordunun ödediği Hükümet ajansları popüler programlardaki exploit'leri öğrenmek için çoğu yazılım üreticisinden daha fazla para ödüyor ÜrETİCİLErİn HATA ÖdÜLÜ PrOGrAMLArI MICROSOFT100.000 $ Zero Day InItIatIve (HP)25.000 $ FACEBOOK20.000 $ GOOGLE20.000 $ yaHoo15.000 $ PayPal 10.000 $ MOZILLA 3.000 $ ExPLOIT'LErİn KArABOrSA FİYATI IOS250.000 $ CHrome/Ie 200.000 $ FIREFOX/SAFARI150.000 $ WINDOWS120.000 $ MS WORD100.000 $ FlasH/Java100.000 $ ANDROID60.000 $ MAC OS X 50.000 $ ADOBE READER30.000 $ Kaynak: Grugq, Exploit-Dealer Pwn2Own hacker etkinliğinde Çinli hacker'lar bir iOS açığıyla iPhone'dan nasıl fotooğraf çaldıklarını anlatırken. Exploit'ler çoğu zaman JavaScript'le programlanıyor çünkü saldırıların düzenlendiği web sitelerine konuyor › 'A KADAR 'A KADAR 3707/2014
