Akár 200 ezer dollárt is lehet keresni azzal, ha valaki egy Apple termékben talál biztonsági hibát. A többi techcéget követve ugyanis végre az Apple is elindította ún. bug bounty programját. Mégpedig nem is akármilyent.
Nagyon lemaradtak, hiszen az utóbbi öt-hat évben a nagyobb informatikai vállalatok sorra indítottak olyan programot, amellyel külső biztonsági szakértőket tudnak bevonni termékeik biztonsági réseinek feltárásába. Az ok elsősorban az, hogy így sokkal szélesebb körből tudnak szakértelmet bevonni erre a feladatra, ráadásul olcsóbban, mintha erre a feladatra egy állandó belső csapatot állítanának fel (erről itt írtunk bővebben).
A Facebook például 2014-ben 1,3 millió dollárt, tavaly pedig egymilliót fizetett ki külső kutatóknak az általuk jelentett hibákért – ennyiből viszont egy meglehetősen kis létszámú belső csapatot tudna csak működtetni.
De nem csak az informatikai cégek választják ezt az utat, hanem olyan vállalatok is, mint a Tesla vagy az Uber. Ma már például a Forbes 2000-es listáján szereplő cégek 96 százaléka indított saját vagy kiszervezett formában bug bounty programot.
Ebben is magasra teszik a mércét
Az Apple itt sem aprózta el a belépőjét, amennyivel később állt be a sorba, annál impozánsabb volt a belépője. Ivan Krstic, az Apple termékeinek biztonságért felelős vezető a Black Haten jelentette be a programot – és hogy nagyot szóljon, természetesen csak a díjak felső határát adta meg.
Már a helyszínválasztás is sokat mond: az Apple képviselői ugyanis az elmúlt években nem adtak elő a Black Haten, a termékeik biztonsági kérdései legfeljebb az Apple Worldwide Developers Conference-en kerültek terítékre. Pedig a vállalat már két éve keresi annak a lehetőségét, hogy közelebb kerüljön a független biztonsági szakemberek közösségéhez. Már akkor sokan azt gondolták, hogy hamarosan elindítja saját bug bounty programját.
Az Apple ilyen irányú törekvései azonban szórványosak maradtak. Bár időnként ők is fizettek biztonsági rések feltárásáért, azt soha nem verték nagy dobra. Volt ugyan egy meghívásos rendszerű gyakorlatuk, de abba csak azok a kutatók tudtak bekerülni, akik már adtak az Apple-nek fontos sérülékenységekről információkat. A teljes nyitásnak ugyanis szerintük nem volt értelme, mert a feketepiac és a kormányzati szervek amúgy is túllicitálják a vállalatokat. Az FBI például állítólag 1 millió dollárt fizetett azért, hogy egy szakértő cég feltörjön egy iPhone-t.
Mostanra azonban kényszerűen be kellett ismerniük: a meghívásos módszerrel és a belső tesztelő csapatukkal egyre nehezebben tudnak megbirkózni a hibakereséssel. Ezért is döntöttek, hogy megnyitják a programot, ráadásul nagyon komoly díjazással.
Adományozással is megfejelték
A program szeptemberben indul, egyelőre öt kategóriában. Azzal szeretnék még vonzóbbá tenni a független kutatóknak, hogy egy adományozási akcióval is összekapcsolták.
A legtöbbet a firmware Secure Boot összetevőjében megtalált sérülékenységekért fizetnek. Ez akár 200 ezer dollárt is megér az Apple-nek. Ennek felét, azaz 100 ezret ér minden olyan sérülékenység, amellyel a Secure Enclave-ból lehet kinyerni bizalmas információkat (az A7 lapkák például ezen a terület tárolják az ujjlenyomat-azonosításhoz szükséges adatokat).
Maximum 50 ezer dollárt érnek azok a sérülékenységek, amelyek rosszindulatú kódok lefuttatására adnak lehetőséget, és ugyanennyit érhetnek azok a hibák is, melyek iCloud fiókokhoz való illetéktelen hozzáférést segítik. Végül az ötödik kategória a sandbox sérüléknységek feltárása, amely maximum 25 ezer dollárt érhet.
Az igazsághoz hozzátartozik, hogy azért közel sem az Apple a legbőkezűbb: a Zerodium, amely nulladik napi sérülékenységeket kutat, például akár félmillió dollárt is hajlandó kifizetni egy jelentősebb hibáért.
Ahhoz, hogy valaki megkapja a pénzt, nem elég bejelentei és dokumentálni a sérülékenységet, hanem a legújabb iOS-re és hardverre kell készíteni egy megvalósíthatósági példát (proof-of-concept) is.
És ha minden stimmel, jön a fizetés. Az Apple azonban itt egy újdonságot is bevezetett: arra ösztönzi a kutatókat, hogy a biztonsági rés feltárásáért kapott pénzt ajánlják fel jótékonysági célokra. És ha a kutató ebbe belemegy, akkor az összeget az Apple megduplázza, már ha a kutató által megjelölt szervezet a cégnek is vállalható.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak