Prijavi se z GoogleID

» »

Tudi Apple bo nagrajeval odkrite ranljivosti

Tudi Apple bo nagrajeval odkrite ranljivosti

Slo-Tech - Programe lova na hrošče, kjer so odkritelji in prijavitelji hroščev v programski opremi za svoja odkritja nagrajeni, imajo številna podjetja. Tako imenovane bug bounty programe imajo tako klasični proizvajalci programske opreme ali ponudniki storitev, kakršna sta Google in Facbook, kot tudi drugi tehnološki velikani, denimo Tesla ali celo United Airlines. Opazna izjema je bil Apple, ki do minulega tedna tega programa ni imel. Toda tudi v Cupertinu se počasi premika.

Podjetja so pač spoznala, da so hrošči in ranljivosti neizbežen del programske opreme, zato je najbolje, da jih odkritelji odgovorno prijavijo proizvajalcu. Ker je trg ranljivosti živahen, morajo seveda prijavitelje tudi finančno motivirati, sicer bodo ti svoje odkritje raje prodali VUPEN-u in podobnim. Za podjetje pa je nagrajevanje ranljivosti tako ali tako cenejše od zaposlenih inženirjev, ki bi počeli isto. Apple se je tako moral ukloniti, a se je le deloma.

Novi Applov program so napovedali na konferenci Black Hat, uradno pa bo stekel prihodnji mesec. Apple ponuja nagrade od 25.000 do 200.000 dolarjev, odvisno od resnosti ranljivosti. Za zdaj je program zaprt, je pojasnil glavni inženir za varnost pri Applu Ivan Krstić, zato lahko v njem sodelujejo le vabljeni strokovnjaki. Teh je za zdaj dobrih dvajset, v prihodnosti pa se bo program širil. Kdo je dobil vabilo, Apple ne bo razkril.

Previdna splavitev nove storitve, ki jo najprej dobi omejeno število ljudi, potem pa se z izpopolnjevanjem širi, je značilen Applov način delovanja. Bistveni problem pa je višina nagrad, ki ni zgolj Applov trn v peti, temveč pesti tudi vse ostale ponudnike podobnih programov. Ponujenih 200.000 dolarjev, za katere mora biti ranljivost res huda, se zgolj sliši veliko. Na sivem in črnem trgu se prodajajo za večkratnike tega zneska. Podjetja, ki se ukvarjajo z varnostjo, jih namreč tudi odkupujejo. Nekatera ceno skrivajo, druga javno objavijo. Na primer Exodus Intelligence ima lasten program lovljenja ranljivosti, kjer za luknje v iOS ponujajo 500.000 dolarjev, za Chrome 150.000 dolarjev itd. Kdor bi odkril kakšno res uporabno zero-day ranljivost, pa bi zanjo pri drugih podjetjih zelo verjetno lahko iztržil še več. Spomnimo, da je FBI za eno samo ranljivost po neuradnih podatkih plačal več kot milijon dolarjev.

0 komentarjev



Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Novo neodgovorno razkritje ranljivosti v Apple Mac OS X (strani: 1 2 3 )

Oddelek: Novice / Varnost
10321077 (11459) zmaugy
»

Facebook širi program nagrajevanja odkritih ranljivosti

Oddelek: Novice / Varnost
52660 (1719) Jst
»

Kdo so VUPEN in kako s preprodajo ranljivosti služijo milijone

Oddelek: Novice / Varnost
4013046 (10085) Iatromantis
»

Google skupno ponuja milijon dolarjev za ranljivosti v Chromu

Oddelek: Novice / Varnost
125330 (3807) rolihandrej
»

Microsoft odpira četrt milijona dolarjev vreden natečaj

Oddelek: Novice / Varnost
184495 (2943) denial

Več podobnih tem