NSA teknik takip ve dinleme skandalıyla ilgili her geçen gün farklı ve birbirinden çarpıcı gelişmeler yaşanmaya devam ediyor. Geçtiğimiz hafta yayınlanan belgelerle birlikte NSA’in teknik takip ve dinleme işini sadece kendi programlarıyla gerçekleştirmediği, bazı güvenlik firmalarından sıfırıncı gün saldırıları konusunda ticari yazılım satın aldığı ortaya çıktı. Yayınlanan bir belge, hem NSA’den Bilgi Edinme Yasası çerçevesinde elde edilmiş olması hem de mobil güvenlik alanının parlayan yıldızlarından birisi Fransız Vupen şirketini konu edinmesi nedeniyle son derece ilginç.
Yayınlanan belgeye göre, ABD istihbarat çatı yapılanması NSA, Fransız güvenlik firması Vupen’den sıfırıncı gün saldırıları konusunda ticari bir yazılım ve danışmanlık hizmeti satın almış. Bilgi Edinme Yasası çerçevesinde elde edilen belgeye göre, NSA geçtiğimiz sene Eylül ayında Vupen ile 1 yıllık bir sözleşme imzalamış. Analistler, bu belgeyi yorumlarken NSA’in hem siber saldırı kapasitesini artırmayı hem de başka hükümetlerin ne gibi siber saldırı araçları kullanabileceklerini görmek için bu alımı yapmış olabileceğini söylüyorlar.
Vupen özellikle beyaz şapkalı hacker ve güvenlik araştırmacılarının ilgi gösterdikleri Pwn2Own güvenlik yarışmalarında son 3 yıldır ödül kazanan bir şirket. Fransız firma 2011’deki yarışmada tüm güncellemeleri yüklü olan bir Mac OS X 10.6.6 sisteminde Safari 5.0.3 tarayıcı sürümünü yalnızca birkaç saniye içinde kırmayı ve sabit diske veri yazdırmayı başarmış, 2012’deki yarışmada Chrome tarayıcısını kırmış ancak bunu nasıl yaptıklarını açıklamak yerine bu bilgiyi satacaklarını duyurmuştu. Bu yıl yapılan Pwn2Own etkinliğindeyse Vupen adeta yıldızlaşmış ve IE10’un yanı sıra Mozilla Firefox, Adobe Flash ve Oracle Java’yı kırarak 250.000 $ ödülle yarışmanın en fazla ödül kazanan şirketi olmuştu.
Kaynak : 