TrendMicro tarafından oluşturulan Zero Day Initiative (ZDI), 0 günlük güvenlik açıklarının özel olarak etkilenen satıcılara rapor edilmesini finansal olarak ödüllendiren araştırmacılar tarafından teşvik etmek için oluşturuldu. O zamanlar, bilgi güvenliği endüstrisindeki bazıları tarafından, güvenlik açıklarını bulanların zarar vermek isteyen kötü niyetli bilgisayar korsanları olduğu algısı vardı. Bazıları hala böyle hissediyor. Yetenekli, kötü niyetli saldırganlar var olsa da, yazılımda yeni kusurlar keşfeden toplam insan sayısının küçük bir azınlığı olmaya devam ediyor.
Küresel bağımsız araştırmacılar topluluğunu dahil etmek, dahili araştırma kuruluşlarımızı ek sıfır günlük araştırma ve istismar zekası ile güçlendirir. Bu yaklaşım, 25 Temmuz 2005’te başlatılan ZDI’nın oluşumuyla birleşti.
Bugün, ZDI dünyanın en büyük satıcıdan bağımsız hata ödül programını temsil ediyor. Güvenlik açığı bilgilerinin elde edilmesine yönelik yaklaşımları diğer programlardan farklıdır. Satıcı bir yama yayınlayana kadar güvenlik açığıyla ilgili hiçbir teknik ayrıntı halka gönderilmez.
Harika etkinliklerinden biri, birçok ülkede düzenlenen Pwn2Own etkinliğidir – işte Kanada, Vancouver etkinliklerinden son puan tabloları:
Yarışmacılar 27 benzersiz sıfır günü ifşa ettiler ve toplamda 1.035.000 $ (ve bir araba) kazandılar! Masters of Pwn, Synacktiv’ı tebrik ederiz (@Synactive), büyük başarıları ve sıkı çalışmaları için! 53 puan, 530.000 $ ve bir Tesla Model 3 kazandılar:
ZDI aracılığıyla edinilen güvenlik açıklarını yeniden satmaz veya yeniden dağıtmazlar. ZDI programı aracılığıyla gönderim yapmak ayrıca sizi satıcıyla hatayı izleme yükünden kurtarır. Bildirilen bir güvenlik açığının teknik ayrıntılarını ve ciddiyetini anlamalarını sağlamak için satıcılarla birlikte çalışmak için her türlü çabayı gösterirler, bu da araştırmacıları diğer hataları bulmakta özgür bırakır. Satıcı ifşası ile ilgili olarak tüm mevcut durumlarınızla ilgili durumların nerede olduğunu size bildireceklerdir. Bir ürün satıcısı bu güvenlik açığını ele almak istemediği için hiçbir durumda edinilmiş bir güvenlik açığı “gizli tutulamaz”.
İlgilenen araştırmacılar, keşfettikleri önceden yama uygulanmamış güvenlik açıkları hakkında onlara özel bilgiler sağlar. ZDI daha sonra, kesinlikle etik ve mali gözetim için araştırmacının kimliğini doğrulamak amacıyla arka plan bilgilerini toplar. Dahili araştırmacılarımız ve analistlerimiz, güvenlik laboratuvarlarımızda sorunu doğrular ve araştırmacıya parasal bir teklifte bulunur. Araştırmacının teklifi kabul etmesi halinde ödeme hemen yapılacaktır. Bir araştırmacı ek güvenlik açığı araştırması keşfedip sağladığında, sık uçan yolcu programına benzer bir sadakat programı aracılığıyla bonuslar ve ödüller artabilir.
Bir araştırmacının hata raporunun alınması konusunda anlaşmaya varılmasının ardından, Trend Micro müşterileri için koruma filtreleri geliştirilir ve devreye alınır. Aynı anda ZDI, etkilenen satıcıya bir güvenlik açığı düzeltme eki geliştirebilmeleri için bildirimde bulunur. ZDI, elde edilen tüm güvenlik açıklarını ürün satıcılarına açıklama politikalarına uygun olarak ifşa eder. Bu ifşa politikası, hem araştırmacıların hem de ürün satıcılarının ZDI’nın güvenlik açığı bilgilerini nasıl ele aldığını anlamasını sağlar. Bu politika, araştırmacılara keşiflerinin hiçbir durumda “halı altına süpürülmeyeceği” konusunda güvence verir. Ayrıca, ürün satıcılarına, ifşa süreci boyunca kullanılmasını bekleyebilecekleri profesyonel ve standart bir dizi yönerge olduğu konusunda güvence verir.
Etkilenen tedarikçi firmadan bir yama hazır olduğunda ZDI, araştırmacı anonim kalmayı seçmediği sürece kaynak araştırmacıya tam kredi sağlayan ortak bir danışma belgesi aracılığıyla halkı güvenlik açığı konusunda bilgilendirmek için satıcıyla işbirliği içinde çalışır. Güvenlik açığı kamuya açıklanmadan önce, güvenlik açığının teknik ayrıntılarını diğer güvenlik satıcılarıyla paylaşmayı seçebilirler, böylece onlar da müşterileri için uygun bir güvenlik yanıtı hazırlayabilir. Bu uygulama, bizimkinden daha büyük bir müşteri tabanının korunmasını kolaylaştırmalarına olanak tanır.
Bir araştırmacının güvenlik açığı keşfinin gizliliğini, bir ürün satıcısı bir yama geliştirene kadar korumak için, Trend Micro müşterilerine güvenlik açığının kendisi değil, yalnızca sağlanan filtrenin genel bir açıklaması verilir. Ayrıntılar, ürün satıcısıyla koordineli olarak kamuoyuna duyurulduktan sonra, müşterilerimizin kendilerini koruyan uygun filtreleri belirleyebilmeleri için güncellenmiş bir açıklama da kamuoyuna duyurulur. Yani müşterilerimiz zafiyetten önceden korunurken zafiyetin kendisini fark edemeyeceklerdir.
ZDI hakkında daha fazla bilgi edinmek için onları çevrimiçi olarak https://www.zerodayinitiative.com/ adresinden ziyaret edin.
yazar hakkında
Gary Miliefsky bir uluslararası kabul görmüş siber güvenlik uzmanı, çok satan yazar ve açılış konuşmacısı. ABD Ulusal Güvenlik Departmanı’nın Kurucu Üyesidir, Ulusal Bilgi Güvenliği Grubunda hizmet vermiştir ve CVE Programından sorumlu MITRE’nin OVAL danışma kurulunda görev yapmıştır. 2012’den beri Cyber Defense Magazine’in kurucusu ve Yayıncısıdır. Gary’yi çevrimiçi olarak şu adresten ziyaret edin: https://www.cyberdefensemagazine.com/