ICT Media
Dünyanın önde gelen siber güvenlik şirketlerinden dünyanın en büyük ve en başarılı bağımsız ödül avcılığı (bug bounty) programı olan Zero Day Initiative’in (ZDI) 20. yılını kutluyor. 2005 yılından bu yana ZDI, yazılım açıklarının sorumlu şekilde açıklanmasını ödül avcılığı teşvikleri ve dünyanın dört bir yanında düzenlediği etik siber korsan yarışmalarıyla destekliyor.
Trend Micro Operasyonlardan Sorumlu Başkanı Kevin Simzer, “Önceliğimiz, müşterilerimizin siber güvenliğe ilişkin proaktif bir yaklaşım benimsemelerini sağlamak. Zero Day Initiative, siber suçluların bir adım önünde olmak için sahip olduğumuz en güçlü araçlardan biri ve sektöründe eşsiz. Hiçbir başka şirket, müşterilerini bizim kadar erken aşamada koruyamıyor” dedi.
Trend Micro Avrasya Bölgesi Teknik Lideri Burçin Olgaç, “Zero Day Initiative programımız sayesinde yalnızca müşterilerimizi değil, tüm dijital ekosistemi daha güvenli kılmayı hedefliyoruz. Son 20 yılda dünya çapında sayısız güvenlik açığının tespit edilmesini ve sorumlu şekilde kapatılmasını sağladık. Güvenlik araştırmacılarıyla kurduğumuz güçlü iş birliği, siber tehditlere karşı sektöre öncülük etmemizi sağlıyor” dedi.
Trend Micro’nun ZDI programı, küresel güvenlik açığı araştırması ve bildirimi alanında lider konumda yer alıyor. Omdia’ya göre, 2024 yılında ZDI, tüm açıklanan güvenlik açıklarının %73’ünün sorumlu şekilde duyurulmasını sağladı. Bu oran, diğer tüm katılımcı tedarikçilerin toplamından daha fazla.
Bu yeni keşfedilen açıklarla ilgili yapılan araştırmalar sayesinde Trend Micro müşterileri, sıfır gün (zero-day) güvenlik açıklarına karşı sanal yamalara resmi üretici güncellemelerinden ortalama iki ay daha önce erişebiliyor. Ancak ZDI’nın faydası sadece Trend Micro müşterileriyle sınırlı değil. Program, yazılım hatalarının kötü niyetli kişiler tarafından kullanılmadan önce üreticiler tarafından düzeltilmesini sağlayarak dijital dünyayı herkes için daha güvenli hale getiriyor.
ZDI programı 2005 yılında, o dönemde 3Com’un bir bölümü olan TippingPoint tarafından mütevazı bir şekilde hayata geçirildi. Temel fikir çok basitti. Siber güvenlik araştırma topluluğunu, yaygın olarak kullanılan ürünlerde sıfır gün açıklarını bulmaları ve bunları ilgili üreticilere sorumlu bir şekilde bildirmeleri için maddi olarak teşvik etmek, böylece ürünlerin daha güvenli olmasını sağlamak.
Bugün artık sektörün en bilinen yarışmalarından biri olan Pwn2Own, 2007 yılında başladı. Bu yarışma, araştırma ekiplerine önceden belirlenmiş ürün kategorilerinde sıfır gün açıklarını bulmak için hem birbirleriyle hem de zamana karşı yarışma imkânı sundu.
Trend Micro, 2016 yılında TippingPoint’i satın aldıktan sonra ZDI programının sorumluluğunu üstlendi. Bugün program, 14 küresel tehdit merkezinde görev yapan 450’den fazla uzman araştırmacının yanı sıra, dünya genelinde 19.000’i aşkın güvenlik araştırmacısından oluşan geniş bir topluluğu bünyesinde barındırıyor.
ZDI programının öne çıkan başarılarından bazıları:
- ZDI araştırmacıları, ünlü Stuxnet solucanının yararlandığı LNK açığı için yayımlanan yamanın düzgün çalışmadığını tespit etti. Bu araştırma sayesinde Microsoft, ilk yamanın üzerinden beş yıl geçtikten sonra yeni bir düzeltme yayınladı.
- ZDI araştırmacılarına, Internet Explorer’daki savunma önlemlerini aşan bir yöntemi keşfettikleri için Microsoft tarafından 125.000 dolar ödül verildi. Bu ödül hayır kurumuna bağışlandı; ayrıca geliştirilen teknik o kadar yenilikçiydi ki patent aldı.
- Bir ZDI araştırmacısı, Apple’ın Windows için geliştirdiği QuickTime yazılımında iki adet sıfırıncı gün açığı buldu. Bu bulgular, Apple’ın ürüne verdiği desteği sonlandırmasına yol açtı. ZDI, QuickTime kullanıcılarının yazılımı kaldırmasını teşvik eden süreci yönetti.
- ZDI, yıllar boyunca Ukrayna’yı hedef alan Black Energy APT dahil olmak üzere, birçok gizli devlet operasyonunun bozulmasına katkı sağladı.
2023 yılında bir ZDI araştırmacısı, “en az değer verilen araştırma” kategorisinde Pwnie ödülü kazandı. Araştırmacı, tamamen yeni bir güvenlik açığı sınıfı olan “activation context cache poisoning” açığını keşfetmişti
