» »

Apple plačal zajetno nagrado odkriteljem ranljivosti v svojem omrežju

Apple plačal zajetno nagrado odkriteljem ranljivosti v svojem omrežju

Slo-Tech - V Applu so skupinici white-hat hekerjev, ki je v preteklih mesecih v velikanovem širšem računalniškem omrežju odkrila več deset resnih ranljivosti, izplačali skoraj tristo tisoč dolarjev, vsota pa bo v prihodnjih dneh še narasla.

Resna informacijska podjetja se zavedajo, da je navkljub sposobnim notranjim ekipam varnostnih strokovnjakov še vedno mogoče spregledati grde odprtine v digitalnem oklepu, zato nagrajujejo zunanje raziskovalce-poševnica-hekerje, ki drezajo v njihovo obrambo iz plemenitih razlogov iskanja ranljivosti. V Cupertinu imajo v ta namen postavljen program Apple Security Bounty, ki ga je sedaj za komunikacijo z njimi uporabila skupinica petih hekerjev okoli Sama Curryja. Gruča se je zadnje tri mesece potikala po notranjosti Applovega omrežja in na plano privlekla 55 ranljivosti, "11 od teh kritičnih". Apple jim je do tega trenutka že izplačal 288.500 ameriških dolarjev nagrade, ko pa bodo strokovnjaki predelali vse prijavljene šibkosti, bo vsota verjetno presegla pol milijona dolarjev. Težave sicer nimajo povezave z luknjo v varnostnem čipu T2, ki je pred dnevi prav tako prišla na dan.

Med ranljivostmi, ki so jih odkrili Curry in druščina, so tudi takšne, ki bi lahko sprožile avtomatizirano širjenje zlobne kode med računalniki Applovih uslužbencev ali zlikovcem omogočile krajo uporabniških podatkov z iClouda, v skrajnem primeru pa celo prevzem notranjih Applovih omrežij. Zanimivejša je na primer najdena ranljivost na napad XSS (Cross-Site Scripting), kjer bi napadalci v JavaScript kodo, ki jo uporabljajo iCludovi strežniki, lahko zapakirali napad, ki bi se sprožil že samo, ko bi uporabnik iClouda odprl pošto, prispelo z okuženega strežnika; to bi nato napadalcem omogočilo, da snamejo vsebino uporabnikove shrambe v oblaku. Tako je treba ob koncu poudariti, da čeprav se zdi izplačana nagrada nemajhna, pa bi bili stroški, če bi navedene ranljivosti izkoristili nepridipravi, za Apple še neprimerno večji.

23 komentarjev

shadeX ::

Tile hekerji so pa res časti vredni da delajo za drobiž.

Ganon ::

Glede na odkrite ranljivosti, sem pričakoval milijonski znesek. Nadaljujejo tradicijo stiskaštva. Naslednjič naj jim pošljejo samo zahvalno pismo z lastnoročnim podpisom Tima Cooka. Saj bo dovolj.

Kvinta ::

Te pa naj še onemu avstralskemu mulcu nekaj dajo ko jim je rit sprašo pred leti :D
A.C.A.B

zmaugy ::

Res skopuško od njih. Zanimivo, da se še najde kdo, ki je pripravljen to počet za drobiž. Zanimivo bi bilo tudi videti, kaj bi odkrili kalibri, ki delajo za resen denar...
Biseri...

galop ::

Za ta denar se ne bo nihče resen trudil shekati to sranje in se izpostaviti..

DexterBoy ::

mogoče je pa 300 čukov po glavi...
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.
http://www.avtofil.si/

Furbo ::

Človek bi še pomislil, da je kdo od vas, ki se vam zdi tole drobiž, že pokasiral kaj takega.
Lp,f

nergac ::

Sam sem bil že shekan zastonj.

Pa nisem imel nič proti temu.

shadeX ::

Furbo je izjavil:

Človek bi še pomislil, da je kdo od vas, ki se vam zdi tole drobiž, že pokasiral kaj takega.


Seveda je drobiž. Če bi kdo izkoriščal te ranljivosti, bog ne daj da bi kdo dobil dostop do iCloud podatkov posameznikov oz. celo mase ljudi, bi se škoda merila v desetine, stotine ali več sto milijonih. Tle pa se šparajo za tistih par sto jurjev in privabljajo neke low- mid end hekerje.

Glede na to da je Apple najbolj vredno podjetje, sem malo razočaran nad njihovo "velikodušnostjo". Pač ni nekaj s čimer bi se hvalil.

Zgodovina sprememb…

  • spremenil: shadeX ()

chort ::

Furbo je izjavil:

Človek bi še pomislil, da je kdo od vas, ki se vam zdi tole drobiž, že pokasiral kaj takega.

288 k$ / 6 ljudi / 3 mesece = 16 k$ oziroma 13.5 kEUR na mesec na osebo. To za ozko specialistično znanje in eno bogatejših strank ever res ni veliko denarja. Tudi če jim dajo pol miljona, res ni veliko denarja.
Seveda redno kasiram precej več kot kaj takega, ti ne?

Zgodovina sprememb…

  • spremenilo: chort ()

nergac ::

Kaj odkrivate toplo vodo.

Hekerjem je pač všeč apple.

Iphone 2g je bil revolucija.

XIIT ::

chort je izjavil:

Furbo je izjavil:

Človek bi še pomislil, da je kdo od vas, ki se vam zdi tole drobiž, že pokasiral kaj takega.

288 k$ / 6 ljudi / 3 mesece = 16 k$ oziroma 13.5 kEUR na mesec na osebo. To za ozko specialistično znanje in eno bogatejših strank ever res ni veliko denarja. Tudi če jim dajo pol miljona, res ni veliko denarja.
Seveda redno kasiram precej več kot kaj takega, ti ne?

Fantje so se slabo izpogajali. Če bi se še slabše, bi odnesli le izkušnje ter referenco.
The only permanency in politics is permanent self interest, never fairness.

secops ::

Lahko pa so kakšno tako ranljivost zanalašč spregledali in bodo z njo na black marketu zaslužili miljone

shadeX ::

Fair point.

Furbo ::

shadeX je izjavil:

Seveda je drobiž. Če bi kdo izkoriščal te ranljivosti, bog ne daj da bi kdo dobil dostop do iCloud podatkov posameznikov oz. celo mase ljudi, bi se škoda merila v desetine, stotine ali več sto milijonih. Tle pa se šparajo za tistih par sto jurjev in privabljajo neke low- mid end hekerje.

Glede na to da je Apple najbolj vredno podjetje, sem malo razočaran nad njihovo "velikodušnostjo". Pač ni nekaj s čimer bi se hvalil.

Očitno se ne spoznaš prav dobro na poslovanje podjetij, cilj je dobiti čim več za čim manj denarja = večji dobiček.
Še nisem videl bogataša, ki bi kar razmetaval denar, ker ga pač ima veliko.
Če bi se apple obnašal tako, da ti 'ne bi bil razočaran', ne bi bil, kjer je.
Lp,f

Magic1 ::

Sej Boeing tudi ni bil neumen, da bi zapravljal denar pri razvoju ključnih zadev in na brezplačnih varnostnih funkcijah... Tam so kot uspešni podjetniki šparali na veliko in prodajali varnostne mehanizme v letalu. Bonusi so bili zato lepi, danes pa je kar je.
Magic

Zgodovina sprememb…

  • spremenil: Magic1 ()

dio1ds ::

Samo eno vprašanje, če mogoče kdo ve glede te ranljivosti čipa T2.

Tole je ranljivo samo v trenutnih x86 MacOS ali tudi v prihodnjih ARM MacOS?
Pojdi raje na kolo in vrži kak kamen!

nekikr ::

Seveda je drobiž. Če bi kdo izkoriščal te ranljivosti, bog ne daj da bi kdo dobil dostop do iCloud podatkov posameznikov oz. celo mase ljudi, bi se škoda merila v desetine, stotine ali več sto milijonih.

Ni čisto tako:
1. Škoda na borzi bi bila morda res lahko kratkotrajno nekaj 10, morda celo 100 milijonov, dolgoročno po vsej verjetnostni nič, ker ljudje take stvari hitro pozabimo. Se pravi škode ne bi bilo, morda za Apple celo dodatni profit, glede na to, da redno odkupujejo svoje delnice, ki bi bile to kratko obdobje cenejše.
2. Zloraba teh ranljivosti ne gre čisto tako, kot si vsevedni UberHacker forumaši predstavljate. Heker ne bo pognal virus.exe in gledal kako ima milijone na uro profita, potem pa brezdelno užival na plaži ob koktejlu. Večino jih kar lepo polovijo, potem, ko sicer naredijo nekaj kratkotrajne škode, zase pa ne zaslužijo niti promila tega. Se pravi, če bi se ta ekipa lotila nelegalnih poslov bi morda lahko zaslužila nekaj denarja (ugibanje koliko je brezpredmetno, nikakor pa to ne gre v stotine milijonov).
3. Pol milijona čistega denarja in služba naprej ali morda kakšen milijon nelegalnega in gledanje preko rame do konca življenja?

shadeX ::

Očitno se ne spoznaš prav dobro na poslovanje podjetij, cilj je dobiti čim več za čim manj denarja = večji dobiček.


Dovolj se spoznam, da so mi te zadeve kristalno jasno. Vsako podjetje mora postavit meje in prioritete, kje se bo zategovalo pas. Glede na to da Apple igra na karto varnosti in privatnosti je po mojem neumnem razmišljanju na temu najslabše šparat.

Če je FBI ponujal 1M $ za info kako odklenit telefon terorista, potem veš da trg za take informacije obstaja in meja je krepko nad tem kolikor je Apple pač ponujal.

shadeX ::

dolgoročno po vsej verjetnostni nič, ker ljudje take stvari hitro pozabimo


Niti ne glede na to da imam Apple ravno zaradi tega, ker čutim da je "zaupanja" vredno podjetje (in ker vem da njihov poslovni model ni prodajanje podatkov). Verjamem da Apple sam od sebe ne bi leakal podatkov ven, me pa seveda skrbi to da bi se dobil nekdo pametnejši od Applovih inžinirjev in to seveda izkoristil.

In v tem primeru večjo nagrado kot ponudiš, bolj sposobne ljudi dobiš.

Pol milijona čistega denarja in služba naprej ali morda kakšen milijon nelegalnega in gledanje preko rame do konca življenja?


Meni in tebi je to popolnoma jasno, moraš pa vedet da ego ni nekaj nad čimer maš vedno 100% kontrolo.

Kar Vprašaj mladega škrjanca ..


TLDR; Pozabili bodo tisti ki Appla niso nikoli kupili z namenom varnosti oz zasebnosti.

Zgodovina sprememb…

  • spremenil: shadeX ()

Dr_M ::

iti ne glede na to da imam Apple ravno zaradi tega, ker čutim da je "zaupanja" vredno podjetje


In kako se zdaj pocutis, ko si ugotovil, da te je apple na suho nategnil?
The reason why most of society hates conservatives and
loves liberals is because conservatives hurt you with
the truth and liberals comfort you with lies.

Furbo ::

Dr_M je izjavil:

iti ne glede na to da imam Apple ravno zaradi tega, ker čutim da je "zaupanja" vredno podjetje


In kako se zdaj pocutis, ko si ugotovil, da te je apple na suho nategnil?

S tem, da skrbi za varnost in daje pregledati omrežje?
Lp,f

Greg91 ::

Dr_M je izjavil:

iti ne glede na to da imam Apple ravno zaradi tega, ker čutim da je "zaupanja" vredno podjetje


In kako se zdaj pocutis, ko si ugotovil, da te je apple na suho nategnil?


Kakšno je počutje, ko živiš v iluziji?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Apple plačal zajetno nagrado odkriteljem ranljivosti v svojem omrežju

Oddelek: Novice / Varnost
232530 (73) Greg91
»

Forbes: FBI že lahko odklene nove iPhone 11

Oddelek: Novice / Apple iPhone/iPad/iPod
143412 (1613) Ahim
»

Primer San Bernardino: nekdo je spremenil geslo osumljenčevega iClouda (strani: 1 2 )

Oddelek: Novice / Tožbe
8816145 (11742) Vajenc
»

Applova ponudba za prevzem Dropboxa zavrnjena (strani: 1 2 )

Oddelek: Novice / Nakupi / združitve / propadi
5213226 (9554) CaqKa

Več podobnih tem