Míg az Apple maximum 200 ezret adna egy, az iPhone-ok operációs rendszerében talált biztonsági résért, van, aki több mint a dupláját is kifizetné érte. A miértre is fény derül cikkünkben.
Hirdetés
 

Amint arról mi is írtunk, akár 200 ezer dollárt is lehet keresni azzal, ha valaki egy Apple termékben talál biztonsági hibát. A többi techcéget követve ugyanis végre az Apple is elindította ún. bug bounty programját.  A legtöbbet a firmware Secure Boot összetevőjében megtalált sérülékenységekért fizetnek. Ez akár 200 ezer dollárt is megér az Apple-nek. Ennek felét, azaz 100 ezret ér minden olyan sérülékenység, amellyel a Secure Enclave-ból lehet kinyerni bizalmas információkat (az A7 lapkák például ezen a terület tárolják az ujjlenyomat-azonosításhoz szükséges adatokat).

Maximum 50 ezer dollárt érnek azok a sérülékenységek, amelyek rosszindulatú kódok lefuttatására adnak lehetőséget, és ugyanennyit érhetnek azok a hibák is, melyek iCloud fiókokhoz való illetéktelen hozzáférést segítik. Végül az ötödik kategória a sandbox sérüléknységek feltárása, amely maximum 25 ezer dollárt érhet.

Még ez is kevés?

Hiába tűnnek soknak a fenti összegek, nemrég rálicitált valaki a Steve Jobs alapította vállalatra. Az Exodus Intelligence alig pár nappal az Apple bejelentése után azzal állt a nyilvánosság elé, hogy akár több mint a dupláját, bizonyos feltételek esetén félmillió dollárt is hajlandó kifizetni egy, az iOS 9.3-ban (vagy annál újabb mobil operációs rendszerben) talált, korábban ismeretlen biztonsági résről szóló információért.

A biztonsági résekről szóló adatokkal kereskedő cég közzétette a legfontosabb rendszerekben fellelhető sebezhetőségek árlistáját. Eszerint maximum 150 ezer dollárt fizetnek egy Google Chrome-ban talált sérülékenységért, a Microsoft Edge esetén 125 ezer dollár ez a tarifa, Firefox-ban 80 ezer, Windows 10 LPE környezetben 75 ezer, Adobe Readerben és a leszálló ágban levő Adobe Flash-ben pedig 60 ezer dollár.

A sebezhetőséget felfedezőknek egyébként lehetőségük van az egyszeri díj helyett alacsonyabb összegű, de a hiba kijavításáig folyamatosan, bizonyos időközönként járó pénzjutalomban részesülni. Az Exodus egyébként nem csak amerikai pénznemben kínál ellenszolgáltatást, igény szerint bitcoinban is fizethet.

Miért fizetne bárki más a gyártón kívül?

És ezt nyugodtan nevezhetjük is a millió dolláros kérdésnek. Két okból nyithatja ki a pénztárcáját egy külső cég. Egyrészt azért, hogy a megfelelő információk birtokában vagy kiaknázza a sebezhetőséget – ennek (büntető)jogi veszélye miatt a fejlett világban kicsi az esélye -, vagy értékesítse a tudást a szürke zónában. Utóbbi esetben többször is el lehet adni az információt, így összességében bőven megtérülhet a befektetés.

Másrészt azért dönthet úgy, hogy felvásárolja az új, még nem dokumentált sérülékenységekről szóló beszámolókat, mert azt gondolja, hogy saját érdekérvényesítő képessége jobb, mint egy-egy biztonsági kutatóé. Megpróbálhatja felsrófolni az érintett vállalatok irányában a fellelt sebezhetőség árát, tehát például az Exodus azt hiheti, hogy az Apple esetében jóval többet kérhet el, mint az általa kínált 500 ezer dollár. Így mindenki nyer az üzleten - a biztonsági rést felfedező több pénzt kap és az Exodus is bőven ellensúlyozza kiadását -, kivéve persze az Apple-t.

Egyébként nem ez az első – és valószínűleg nem is az utolsó – eset, amikor külső fél többet fizet egy sebezhetőségért, mint az érintett rendszer fejlesztője. Tavaly novemberben a szintén ebben a bizniszben utazó Zerodium egymillió dollárral jutalmazta azt a távolról kihasználható biztonsági rést, mely az Apple iOS 9 rendszereket érintette. Vagy ott van az Amerikai Szövetség Nyomozóhivatal esete: az FBI például állítólag 1 millió dollárt fizetett azért, hogy egy szakértő cég feltörjön egy iPhone-t. 

Biztonság

Elon Musk összekötné agyunkat számítógépeinkkel

Az amerikai vizionárius új cége ismét egy sci-fi témát váltana valóra.
 
A vállalatoknál telepített szoftverek közel harmada feleslegesen kerül fel a számítógépekre vagy kihasználatlan, ami szükségtelen költségeket és extra kockázatot jelent egy gyártói auditnál.

a melléklet támogatója a SoftwareONE

Hirdetés
A digitális átalakulás szép elv. De ha mindent az azonnali megtérülés és az IT-költségek csökkentése vezérel, akkor csak elv marad – súlyos valós következményekkel. Takács István Péter írása.

Az élethosszig tartó tanulás lesz a legfontosabb képességünk

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az IPR-Insights idén is megkérdezte a vállalatokat a tapasztalataikról. A válaszadók többsége több auditra készül, de magabiztosabban várja az auditort. Fábián László (IPR-Insights) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2016 Bitport.hu Média Kft. Minden jog fenntartva.