Behind the scenes of iOS and Mac Security
„Apple“ pagaliau turi „bounty“ programą.
Rugpjūčio 4 d. Naktį kompanijos „Black Hat USA 2016“ įsilaužėlių konvencijos „Black Hat USA 2016“ įsilaužėlių konferencijoje kompanija vadovavo saugumo inžinerijos ir architektūros vadovui Ivan Krstic.
„Krstic“, kurio komanda atsakinga už visų „Apple“ produktų saugumą, sakė, kad bendrovė ketina sumokėti iki 200 000 JAV dolerių už klaidas, nustatytas per ketvirtadienį pristatytą pranešimą „„ Už „iOS Security scenų“.
Kompensacija priklauso nuo įsilaužimo: prieigos prie „smėlio dėžės“ programų duomenų vertė siekia iki 25 000 JAV dolerių, o saugaus įkrovos programinės įrangos komponentai gali sudaryti net 200 000 dolerių.
Vis labiau paplitęs įsilaužėlių atleidimas už saugumo spragų atskleidimą, o ne slaptas jų išnaudojimas - tai daro visi iš Uberio į Pentagoną.
„Apple“ perėjimas nuo pasitikėjimo tyrinėtojų prestižais prie atlygio už klaidų atskleidimą greičiausiai yra motyvuotas dėl „iPhone 5c“, susieto su 2015 m. „San Bernardino“ fotografavimu, nulaužimas. į „iPhone“.
„Black Hat“ dalyvis Robertas McCarthy:
Auditorija: „Kiek FBI klausimas turėjo įtakos jūsų pozicijai?“
Ivan Krstic: „Aš esu inžinierius čia, kad atsakyčiau į techninius klausimus“
Net FBI, kuri sumokėjo dar nežinomą trečiąją šalį, kad įsilaužtų „iPhone“, kai „Apple“ atsisakė padėti tokiu atveju, nežino, kaip įrenginys buvo pažeistas. Galbūt net nežino, kiek iš tikrųjų kainuoja įsilaužimas, nes FBI direktoriaus Jameso Comey teiginys, kad jis kainuoja apie 1,3 mln. JAV dolerių, buvo paneigtas vėlesnėmis ataskaitomis, kuriose teigiama, kad jis iš tikrųjų kainuoja mažiau nei 1 mln.
Šis dviprasmiškumas dar labiau susijęs su tuo, kad FBI nieko nerado įrenginyje. Tai reiškia, kad viena iš svarbiausių pasaulio teisėsaugos institucijų nepažįstamai įmonei suteikė nežinomą pinigų sumą, kad galėtų atlikti nežinomą įsilaužimą - tai įrodo, kad tai būtų padaryta, ir kad kiekvienas, turintis „iPhone 5c“, yra rizikingas.
„Bounty“ programa gali leisti „Apple“ pašalinti kai kuriuos iš šių kintamųjų ir padaryti jų gaminius saugesnius. Tačiau keista, kad programa prasidės keliais dešimtys tyrinėtojų ir išplėsti tik kvietimu. Klaidos taškų programos tikslas paprastai yra gauti kuo daugiau žmonių, kad jie galėtų apsisaugoti nuo įvairių saugumo funkcijų ir pamatyti, ką jie gali dirbti.
„Apple“ praneša, kad planuoja pakviesti daugiau žmonių į programą, kaip ir anksčiau, ir „pakviesti“ visus, kurie praneša apie rimtą pažeidžiamumą per kitus kanalus, tačiau dabar atrodo, kad „Apple“ tik paniria savo pirštus į „bounty“ baseiną. Tai būdinga bendrovei, kuri dažnai būna atsargi, bet greičiausiai bus nepalanki visiems, kurie norėjo kuo greičiau už tai atlyginti.
Vis dėlto tai yra neabejotina pažanga „Apple“. Taigi Krsticas pasirodė tokiame renginyje kaip „Black Hat USA“. Kartu su kitais pakeitimais, kaip ir sprendimas nešifruoti „iOS 10“ branduolio, atrodo, kad „San Bernardino“ epizodo palikimas gali būti „Apple“, norintis išeiti iš šešėlių, kad jis galėtų saugoti daugelį žmonių, kurie naudojasi savo produktais..
„Peeple“, „Yelp„ Žmonės “programa, pradeda pirmadienį
Atminkite, kad programa Lulu? Tai buvo ta, kurioje galėjote apibendrinti visą žmogaus žmogų su nerimą sukeliančiomis hashtagomis, pvz., #CleansUpGood ir #ProcreatedAndThenEvaporated. Na, dvi Kanados moterys Julia Cordray ir Nicole McCullough nusprendė imtis tokio viešo kritikos ir pažeminimo Scarlet Letter le ...
5 dalykai, kuriuos reikia ieškoti „Black Hat USA 2016“, jei negalite eiti
„Black Hat USA 2016“ prasidėjo Las Vegase liepos 30 d. Nors renginys yra atviras visiems, kurie nori dalyvauti, ne visi, kurie domisi mokymusi iš kai kurių svarbiausių pasaulio saugumo ekspertų, galės nuvykti į Nevadą. Laimei, žurnalistų kadras nusileis ant įsišaknijimo šventės ...
„United Airlines“ pradeda skristi moteriai nuo nešiojamos plokštelės „Black Panther Comics Hat“
Trečiadienį moteris buvo išleista iš „United Airlines“ skrydžio į Čikagą, nes jos skrybėlę su „Marvel“ juodaisiais „Panther“ tapo pilotu „nepatogu“.