Tudi Apple bo nagrajeval odkrite ranljivosti
Matej Huš
10. avg 2016 ob 22:24:18
Programe lova na hrošče, kjer so odkritelji in prijavitelji hroščev v programski opremi za svoja odkritja nagrajeni, imajo številna podjetja. Tako imenovane bug bounty programe imajo tako klasični proizvajalci programske opreme ali ponudniki storitev, kakršna sta Google in Facbook, kot tudi drugi tehnološki velikani, denimo Tesla ali celo United Airlines. Opazna izjema je bil Apple, ki do minulega tedna tega programa ni imel. Toda tudi v Cupertinu se počasi premika.
Podjetja so pač spoznala, da so hrošči in ranljivosti neizbežen del programske opreme, zato je najbolje, da jih odkritelji odgovorno prijavijo proizvajalcu. Ker je trg ranljivosti živahen, morajo seveda prijavitelje tudi finančno motivirati, sicer bodo ti svoje odkritje raje prodali VUPEN-u in podobnim. Za podjetje pa je nagrajevanje ranljivosti tako ali tako cenejše od zaposlenih inženirjev, ki bi počeli isto. Apple se je tako moral ukloniti, a se je le deloma.
Novi Applov program so napovedali na konferenci Black Hat, uradno pa bo stekel prihodnji mesec. Apple ponuja nagrade od 25.000 do 200.000 dolarjev, odvisno od resnosti ranljivosti. Za zdaj je program zaprt, je pojasnil glavni inženir za varnost pri Applu Ivan Krstić, zato lahko v njem sodelujejo le vabljeni strokovnjaki. Teh je za zdaj dobrih dvajset, v prihodnosti pa se bo program širil. Kdo je dobil vabilo, Apple ne bo razkril.
Previdna splavitev nove storitve, ki jo najprej dobi omejeno število ljudi, potem pa se z izpopolnjevanjem širi, je značilen Applov način delovanja. Bistveni problem pa je višina nagrad, ki ni zgolj Applov trn v peti, temveč pesti tudi vse ostale ponudnike podobnih programov. Ponujenih 200.000 dolarjev, za katere mora biti ranljivost res huda, se zgolj sliši veliko. Na sivem in črnem trgu se prodajajo za večkratnike tega zneska. Podjetja, ki se ukvarjajo z varnostjo, jih namreč tudi odkupujejo. Nekatera ceno skrivajo, druga javno objavijo. Na primer Exodus Intelligence ima lasten program lovljenja ranljivosti, kjer za luknje v iOS ponujajo 500.000 dolarjev, za Chrome 150.000 dolarjev itd. Kdor bi odkril kakšno res uporabno zero-day ranljivost, pa bi zanjo pri drugih podjetjih zelo verjetno lahko iztržil še več. Spomnimo, da je FBI za eno samo ranljivost po neuradnih podatkih plačal več kot milijon dolarjev.