Güvenlik açıklarını satan Zerodium firması, UNIX ve Linux tabanlı işletim sistemlerinde bulunan açıklar için 500.000 dolara varan ödül vadediyor.
Zerodium, güvenlik açıklarını toplayarak bunları hükümet kurumlarına satıyor. Şirket internet sitesi üzerinden düzenli olarak güvenlik açığı alım programı duyuruyor. Ancak yamanmamış zero-day açıklar için özel bir ödül teklif ediliyor.
Şirket geçen hafta Twitter üzerinden Linux güvenlik açık alım programını duyurdu. Linux’taki ayrıcalık yükseltme açıkları için ödeme 10.000 ile 30.000 dolar arasında değişiyor. Örneğin Linux tüm ana Linux dağıtımlarını etkileyebilecek kernel açıkları için 100.000 dolara varan ödüller sunuluyor.
Linux uzaktan kod yürütme açıkları içinse hedeflenen yazılım ya da hizmetin pazar payına göre 50.000 ile 500.000 dolar arasında değişen ödüller var. En yüksek ödül de CentOS ve Ubuntu dağıtımlarını etkileyen açıklar için veriliyor.
Güvenlik açıklarının ücretini belirleyen bir diğer önemli nokta ise kullanıcı etkileşim miktarı. Örneğin kullanıcıların bir şeye tıklamasını gerektirmeyen açıklar en yüksek ödüle sahipken bir ya da daha fazla tıklama gerektiren açıklar daha az ücrete sahip. Ayrıca birden fazla açık birlikte kullanılarak geliştirilen yöntemler açığın çalıştığı zaman işe yaramama ihtimalini artırdığı için daha az ödeme yapılıyor. İşletim sisteminin varsayılan ayarları ile çalışan açıklar ise öncelikli olarak tercih ediliyor.
Zerodium firması iOS 9, iOS 10, Adobe Flash Player, mobil mesajlaşma uygulamaları, Tor tarayıcısı, web-hosting yazılımları, Microsoft Outlook, Android ve Linux için güvenlik açıklarını satıyor. Firma ismini, iOS güvenlik açıkları için 1.5 milyon dolar ödül vermesi ile duyurmuştu.
Bahsettiğimiz gibi pazar payı da ödül miktarını belirleyen en önemli faktörlerden birisi. Örneğin masaüstü piyasasında Windows, Linux’dan daha fazla ödüle sahip. Server piyasasında ise Linux daha ön plana çıkıyor ve ödüller istisnai miktarlara ulaşabiliyor.
Mobil pazarı da güvenlik açığı piyasasının en önemli hedefini oluşturuyor. Bu yüzden mobil pazarı etkileyebilecek açıklar genel olarak daha yüksek ödüle sahip. Firmanın sahibi amaçlarının tüm ana yazılım, donanım ve işletim sistemleri için iki ya da daha fazla tam işe yarar güvenlik açığı bulundurmak olduğunu ifade ediyor.
Güvenlik açığı pazarı gittikçe büyüyor ve bazen firmalar, çeşitli devletlere vatandaşlarını izlemeleri için bu açıkları satmakla suçlanıyor. Bu pazara yeni giren Crowdfense firması toplam 10 milyon dolarlık ödül dağıtacağını duyurdu. Bu ödülün yaklaşık 4.5 milyon doları da araştırmacılara ödendi.
