Çeviri: Varsan Çekiç
ABD'de yayımlanan New York Times gazetesi dünya üzerindeki pek çok ülkenin, hackerların bilgisayar yazılımlarında buldukları kod hatalarını satın almak için sıraya girdiğini yazdı. Akdeniz'in Malta adasında bulunan İtalyan hackerlar Luigi Auriemma ve Donato Ferrante gazeteye konuşarak, rakiplerinin bilgisayar sistemlerine girmek isteyen ülkelere, teknik detaylardan oluşan çeşitli yazılım hatalarını, yüzbinlerce dolara sattıklarını açıkladılar. Bilgisayar sistemlerindeki açıkları bulma konusunda hizmet veren ReVuln şirketinde çalışan hackerlar, hizmetleri için büyük para ödeyenler arasında ABD'nin Ulusal Güvenlik Ajansı ve İran Devrim Muhafızları gibi kurluşların yer aldığını belirttiler.
Satın alan kişiye veya kuruma, Microsoft'un Windows sistemi gibi yazılımlara sınırsız giriş hakkı tanıyan hatalara, "sıfır günleri" adını verdiklerini söyleyen hackerlar, kod satışlarına Güney Afrika'dan Güney Kore'ye kadar, bütün dünyadan rağbet geldiğini belirttiler.
Hacker Auriemma ve Ferrante sadece bir kaç yıl önceye kadar, Microsoft ve Apple gibi şirketlerin sistemlerinde buldukları hataların varlığını, yazılımları onarmaları için şirketlere geri sattıklarını belirttiler. Microsoft geçen ay, sistemlerinde bulunan hataların kendilerine bildirilmesi karşılığında, 150 bin dolara kadar ödeme yapmaya razı olduğunu açıklamıştı. New York Times, ABD ve İsrail'in üç yıl önce kullandığı bilgisayar solucanı "Stuxnet" ile, İran'ın nükleer zengilenştirme programına saldırmasından sonra ülkelerin hackerlara, Microsoft'un önerdiğinden daha fazla para öne sürdüklerini belirtti.
Gazete "sıfır günleri" adının, bilgisayar sistemini kullananların bulduğu hataların, hackerlar fark etmeden önce tamir etmeleri anlamına gelen bir terim olduğuna yer vererek, "sıfır günleri sömürüsü"nün de, var olan kod hatalarının hackerlar veya hükümetler tarafından fark edilerek, saldırı amaçlı kullanılması anlamına geldiğini yazdı. New York Times bahsedilen siber aktiviteleri, bir hırsızın soymak için aylarca bir evi gözetleyerek, alarmı çaldırmadan eve girebilmenin bir yolunu bulması olarak örnekledi. Konu hakkında Gazeteye konuşan Beyaz Saray'ın eski sibergüvenlik koordinatorü Howard Schmidt, "Hükümetler, 'Ülkemi korumanın en iyi yolu, diğer ülkelerde bulunan zayıflıkları bulmak' demeye başladılar. Problem şu ki, aslında hepimiz daha az güvence altında olmaya başladık" açıklamasını yaptı.
Bir sıfır günü hatası bulmak, bir hackerın esasında şifre istemeyen ancak girişinde şifre soran bir site bulması kadar basit. Sistemi "Enter" tuşuna basarak atlamak, bir sıfır günü hatası sayılıyor. Antivirus yazılım şirketi Symantec, saldırıların fark edilinceye kadar yaklaşık bir yıl -312 gün- boyunca sürdüğünü ve bu dönem içerisinde hataların, hem suçlular hem de hükümetler tarafından, gözetleme ve saldırı için "silahlaştırılabilir" durumda olduğunu açıkladı.
Gazete 10 yıl öncesine kadar hackerların buldukları hataların bilgilerini, Microsoft ve Google gibi şirketlere bir Tişört veya isimlerinin sitelerinde yer alması karşılığında ya da bedava ilettiklerini yazarak, Çin'de bazı hackerların buldukları hataları, düzenli olarak hükümetlerine verdiklerine de haberde yer verdi.
New York Times, bilgisayar sistemleri hakkındaki bilgi marketinin, "altına hücum" durumuna dönüştüğünü belirterek, Ulusal Güvenlik Ajansı çalışanı Edward Snowden'ın ortaya çıkardığı belgelerin, ABD'nin markette bulunan alıcılardan biri olduğunu açıkça gösterdiğini yazdı. New York Times İsrail, Birleşik Krallık, Rusya, Hindistan ve Brezilya'nın da bilgi marketinde bulunan büyük alıcılar arasında olduğunu belirtti. Washington'da bulunan Strateji ve Uluslararası Çalışmalar Merkezi'nin araştırmasına göre, Kuzey Kore, bazı Orta Doğulu istihbarat servisleri, Malezya ve Singapur da hatalı kodları satın alanlar arasında.
Bilgi marketinde alıcı ve satıcıların birbirleriyle görüşebilmesi için, satıştan yüzde 15 komisyon alan düzenilerce arabulucu bulunuyor. New York Times'a konuşan bazı arabuluculara göre, uzun süre fark edilmeyen bir hata bulan hackerlar, telif ücretleriyle ödüllendiriliyor. Twitter'da "the Gtugq" takma isimli arabulucunun meşhur olduğunu yazan New York Times, the Grugq'un geçen yıl Forbes'la yaptığı röportajdan sonra işlerinin kötü gittiğini belirterek, gazeteye konuşan arabuluculara göre alıcıların, ilk olarak gizliliğe önem verdiğini yazdı.
Bilgi marketinde Amerikan Netragard, Exodus Intelligence, Fransız Vupen, ve Maltalı ReVuln gibi şirketler, sistem hatalarıyla ilgili bilgileri, sibercasusluk ve sibersilahlanma alanında kullanılmak üzere sattığını, özgürce tanıtımını yapıyor. Şirketler müşterileri hakkında bir bilgi vermese de, Netragard'ın kurucusu Adriel Desautels, bir hatanın ortalama fiyatının 35 bin ve 160 bin dolar arasında olduğunu belirtti.
Çoğu Teknoloji şirketi hackerların bulduğu hataları, kara borsada satmamaları için "hata ödülü" programını uyguluyor. Uygulamaya on yıl önce Mozilla Foundation'ın başlamasının ardından şirketi Google, Facebook ve Pay Pal'da takip ederek, ödül programını uygulamaya başladı.
Google çıkardığı internet tarayıcısı Google Chrome'da bulunan hatalar için verdiği para ödülünü geçen ay, 20 bin dolara çıkardı. Benzer bir yaklaşımı 2011 yılından beri uygulayan Facebook, kendisine iletilen hatalar için hackerlara bir yılda, 1 milyon dolar ödeme yaptı. Programa uzun süre karşı çıkan Microsoft geçen ay ödül uygulamasını başlatarak, bulanan tek bir hatayı ve onu nasıl düzeltilebileceğini bildirenlere, 150 bin dolara kadar ödeme yapacağını açıkladı. New York Times'a konuşan hackerlar, bilgi piyasasında değeri yüksek olan Apple'ın bir ödül uygulamasına geçmediğini belirterek, şirketin işletim sistemine dair bulunan hataların market fiyatının, 500 bin dolara kadar çıkabildiğini açıkladılar.
