„Apple Apple“ „Black Hat USA 2016“ pradeda „Bug Bounty“ programą

„Apple“ pagaliau turi „bounty“ programą.

Rugpjūčio 4 d. Naktį kompanijos „Black Hat USA 2016“ įsilaužėlių konvencijos „Black Hat USA 2016“ įsilaužėlių konferencijoje kompanija vadovavo saugumo inžinerijos ir architektūros vadovui Ivan Krstic.

„Krstic“, kurio komanda atsakinga už visų „Apple“ produktų saugumą, sakė, kad bendrovė ketina sumokėti iki 200 000 JAV dolerių už klaidas, nustatytas per ketvirtadienį pristatytą pranešimą „„ Už „iOS Security scenų“.

Kompensacija priklauso nuo įsilaužimo: prieigos prie „smėlio dėžės“ programų duomenų vertė siekia iki 25 000 JAV dolerių, o saugaus įkrovos programinės įrangos komponentai gali sudaryti net 200 000 dolerių.

Vis labiau paplitęs įsilaužėlių atleidimas už saugumo spragų atskleidimą, o ne slaptas jų išnaudojimas - tai daro visi iš Uberio į Pentagoną.

„Apple“ perėjimas nuo pasitikėjimo tyrinėtojų prestižais prie atlygio už klaidų atskleidimą greičiausiai yra motyvuotas dėl „iPhone 5c“, susieto su 2015 m. „San Bernardino“ fotografavimu, nulaužimas. į „iPhone“.

„Black Hat“ dalyvis Robertas McCarthy:

Auditorija: „Kiek FBI klausimas turėjo įtakos jūsų pozicijai?“

Ivan Krstic: „Aš esu inžinierius čia, kad atsakyčiau į techninius klausimus“

Net FBI, kuri sumokėjo dar nežinomą trečiąją šalį, kad įsilaužtų „iPhone“, kai „Apple“ atsisakė padėti tokiu atveju, nežino, kaip įrenginys buvo pažeistas. Galbūt net nežino, kiek iš tikrųjų kainuoja įsilaužimas, nes FBI direktoriaus Jameso Comey teiginys, kad jis kainuoja apie 1,3 mln. JAV dolerių, buvo paneigtas vėlesnėmis ataskaitomis, kuriose teigiama, kad jis iš tikrųjų kainuoja mažiau nei 1 mln.

Šis dviprasmiškumas dar labiau susijęs su tuo, kad FBI nieko nerado įrenginyje. Tai reiškia, kad viena iš svarbiausių pasaulio teisėsaugos institucijų nepažįstamai įmonei suteikė nežinomą pinigų sumą, kad galėtų atlikti nežinomą įsilaužimą - tai įrodo, kad tai būtų padaryta, ir kad kiekvienas, turintis „iPhone 5c“, yra rizikingas.

„Bounty“ programa gali leisti „Apple“ pašalinti kai kuriuos iš šių kintamųjų ir padaryti jų gaminius saugesnius. Tačiau keista, kad programa prasidės keliais dešimtys tyrinėtojų ir išplėsti tik kvietimu. Klaidos taškų programos tikslas paprastai yra gauti kuo daugiau žmonių, kad jie galėtų apsisaugoti nuo įvairių saugumo funkcijų ir pamatyti, ką jie gali dirbti.

„Apple“ praneša, kad planuoja pakviesti daugiau žmonių į programą, kaip ir anksčiau, ir „pakviesti“ visus, kurie praneša apie rimtą pažeidžiamumą per kitus kanalus, tačiau dabar atrodo, kad „Apple“ tik paniria savo pirštus į „bounty“ baseiną. Tai būdinga bendrovei, kuri dažnai būna atsargi, bet greičiausiai bus nepalanki visiems, kurie norėjo kuo greičiau už tai atlyginti.

Vis dėlto tai yra neabejotina pažanga „Apple“. Taigi Krsticas pasirodė tokiame renginyje kaip „Black Hat USA“. Kartu su kitais pakeitimais, kaip ir sprendimas nešifruoti „iOS 10“ branduolio, atrodo, kad „San Bernardino“ epizodo palikimas gali būti „Apple“, norintis išeiti iš šešėlių, kad jis galėtų saugoti daugelį žmonių, kurie naudojasi savo produktais..