» »

Tudi Apple bo nagrajeval odkrite ranljivosti

Tudi Apple bo nagrajeval odkrite ranljivosti

Slo-Tech - Programe lova na hrošče, kjer so odkritelji in prijavitelji hroščev v programski opremi za svoja odkritja nagrajeni, imajo številna podjetja. Tako imenovane bug bounty programe imajo tako klasični proizvajalci programske opreme ali ponudniki storitev, kakršna sta Google in Facbook, kot tudi drugi tehnološki velikani, denimo Tesla ali celo United Airlines. Opazna izjema je bil Apple, ki do minulega tedna tega programa ni imel. Toda tudi v Cupertinu se počasi premika.

Podjetja so pač spoznala, da so hrošči in ranljivosti neizbežen del programske opreme, zato je najbolje, da jih odkritelji odgovorno prijavijo proizvajalcu. Ker je trg ranljivosti živahen, morajo seveda prijavitelje tudi finančno motivirati, sicer bodo ti svoje odkritje raje prodali VUPEN-u in podobnim. Za podjetje pa je nagrajevanje ranljivosti tako ali tako cenejše od zaposlenih inženirjev, ki bi počeli isto. Apple se je tako moral ukloniti, a se je le deloma.

Novi Applov program so napovedali na konferenci Black Hat, uradno pa bo stekel prihodnji mesec. Apple ponuja nagrade od 25.000 do 200.000 dolarjev, odvisno od resnosti ranljivosti. Za zdaj je program zaprt, je pojasnil glavni inženir za varnost pri Applu Ivan Krstić, zato lahko v njem sodelujejo le vabljeni strokovnjaki. Teh je za zdaj dobrih dvajset, v prihodnosti pa se bo program širil. Kdo je dobil vabilo, Apple ne bo razkril.

Previdna splavitev nove storitve, ki jo najprej dobi omejeno število ljudi, potem pa se z izpopolnjevanjem širi, je značilen Applov način delovanja. Bistveni problem pa je višina nagrad, ki ni zgolj Applov trn v peti, temveč pesti tudi vse ostale ponudnike podobnih programov. Ponujenih 200.000 dolarjev, za katere mora biti ranljivost res huda, se zgolj sliši veliko. Na sivem in črnem trgu se prodajajo za večkratnike tega zneska. Podjetja, ki se ukvarjajo z varnostjo, jih namreč tudi odkupujejo. Nekatera ceno skrivajo, druga javno objavijo. Na primer Exodus Intelligence ima lasten program lovljenja ranljivosti, kjer za luknje v iOS ponujajo 500.000 dolarjev, za Chrome 150.000 dolarjev itd. Kdor bi odkril kakšno res uporabno zero-day ranljivost, pa bi zanjo pri drugih podjetjih zelo verjetno lahko iztržil še več. Spomnimo, da je FBI za eno samo ranljivost po neuradnih podatkih plačal več kot milijon dolarjev.

0 komentarjev



Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Cene za ranljivosti v programski opremi rastejo

Oddelek: Novice / Varnost
65491 (4660) FTad
»

Applov lov na luknje ne deluje

Oddelek: Novice / Varnost
53580 (2848) MIHAc27
»

Za vdor v iPhone poldrugi milijon dolarjev

Oddelek: Novice / Varnost
64195 (2522) no comment
»

Google skupno ponuja milijon dolarjev za ranljivosti v Chromu

Oddelek: Novice / Varnost
127223 (5700) roli
»

Microsoft odpira četrt milijona dolarjev vreden natečaj

Oddelek: Novice / Varnost
185800 (4248) denial

Več podobnih tem