Már az is nagy szó, hogy az Apple ilyen programot indít. De olyan összegeket ígér, hogy a fél világ Apple-bugok után fog kutatni.

Akár 200 ezer dollárt is lehet keresni azzal, ha valaki egy Apple termékben talál biztonsági hibát. A többi techcéget követve ugyanis végre az Apple is elindította ún. bug bounty programját. Mégpedig nem is akármilyent.

Nagyon lemaradtak, hiszen az utóbbi öt-hat évben a nagyobb informatikai vállalatok sorra indítottak olyan programot, amellyel külső biztonsági szakértőket tudnak bevonni termékeik biztonsági réseinek feltárásába. Az ok elsősorban az, hogy így sokkal szélesebb körből tudnak szakértelmet bevonni erre a feladatra, ráadásul olcsóbban, mintha erre a feladatra egy állandó belső csapatot állítanának fel (erről itt írtunk bővebben).

A Facebook például 2014-ben 1,3 millió dollárt, tavaly pedig egymilliót fizetett ki külső kutatóknak az általuk jelentett hibákért – ennyiből viszont egy meglehetősen kis létszámú belső csapatot tudna csak működtetni.

De nem csak az informatikai cégek választják ezt az utat, hanem olyan vállalatok is, mint a Tesla vagy az Uber. Ma már például a Forbes 2000-es listáján szereplő cégek 96 százaléka indított saját vagy kiszervezett formában bug bounty programot.

Ebben is magasra teszik a mércét

Az Apple itt sem aprózta el a belépőjét, amennyivel később állt be a sorba, annál impozánsabb volt a belépője. Ivan Krstic, az Apple termékeinek biztonságért felelős vezető a Black Haten jelentette be a programot – és hogy nagyot szóljon, természetesen csak a díjak felső határát adta meg.

Már a helyszínválasztás is sokat mond: az Apple képviselői ugyanis az elmúlt években nem adtak elő a Black Haten, a termékeik biztonsági kérdései legfeljebb az Apple Worldwide Developers Conference-en kerültek terítékre. Pedig a vállalat már két éve keresi annak a lehetőségét, hogy közelebb kerüljön a független biztonsági szakemberek közösségéhez. Már akkor sokan azt gondolták, hogy hamarosan elindítja saját bug bounty programját.

Az Apple ilyen irányú törekvései azonban szórványosak maradtak. Bár időnként ők is fizettek biztonsági rések feltárásáért, azt soha nem verték nagy dobra. Volt ugyan egy meghívásos rendszerű gyakorlatuk, de abba csak azok a kutatók tudtak bekerülni, akik már adtak az Apple-nek fontos sérülékenységekről információkat. A teljes nyitásnak ugyanis szerintük nem volt értelme, mert a feketepiac és a kormányzati szervek amúgy is túllicitálják a vállalatokat. Az FBI például állítólag 1 millió dollárt fizetett azért, hogy egy szakértő cég feltörjön egy iPhone-t.

Mostanra azonban kényszerűen be kellett ismerniük: a meghívásos módszerrel és a belső tesztelő csapatukkal egyre nehezebben tudnak megbirkózni a hibakereséssel. Ezért is döntöttek, hogy megnyitják a programot, ráadásul nagyon komoly díjazással.

Adományozással is megfejelték

A program szeptemberben indul, egyelőre öt kategóriában. Azzal szeretnék még vonzóbbá tenni a független kutatóknak, hogy egy adományozási akcióval is összekapcsolták.

A legtöbbet a firmware Secure Boot összetevőjében megtalált sérülékenységekért fizetnek. Ez akár 200 ezer dollárt is megér az Apple-nek. Ennek felét, azaz 100 ezret ér minden olyan sérülékenység, amellyel a Secure Enclave-ból lehet kinyerni bizalmas információkat (az A7 lapkák például ezen a terület tárolják az ujjlenyomat-azonosításhoz szükséges adatokat).

Maximum 50 ezer dollárt érnek azok a sérülékenységek, amelyek rosszindulatú kódok lefuttatására adnak lehetőséget, és ugyanennyit érhetnek azok a hibák is, melyek iCloud fiókokhoz való illetéktelen hozzáférést segítik. Végül az ötödik kategória a sandbox sérüléknységek feltárása, amely maximum 25 ezer dollárt érhet.

Az igazsághoz hozzátartozik, hogy azért közel sem az Apple a legbőkezűbb: a Zerodium, amely nulladik napi sérülékenységeket kutat, például akár félmillió dollárt is hajlandó kifizetni egy jelentősebb hibáért.

Ahhoz, hogy valaki megkapja a pénzt, nem elég bejelentei és dokumentálni a sérülékenységet, hanem a legújabb iOS-re és hardverre kell készíteni egy megvalósíthatósági példát (proof-of-concept) is.

És ha minden stimmel, jön a fizetés. Az Apple azonban itt egy újdonságot is bevezetett: arra ösztönzi a kutatókat, hogy a biztonsági rés feltárásáért kapott pénzt ajánlják fel jótékonysági célokra. És ha a kutató ebbe belemegy, akkor az összeget az Apple megduplázza, már ha a kutató által megjelölt szervezet a cégnek is vállalható.

Biztonság

Kinézett a gödörből a Lenovo

Öt negyedév után sikerült ismét növekedési pályára állni a sok lábon álló kínai vállalatnak. Az elemzői várakozásoknak viszont így sem sikerült megfelelni.
 
Egyre gyorsuló ütemben tűnnek el a bankfiókok a világon, pénzügyeink intézése mindinkább online történik. Alig egy évtized alatt drasztikusan át fognak alakulni bankolási szokásaink.

a melléklet támogatója az OTP Mobil

Hirdetés

Okos pénzügyi tervezés – növekvő konverzió a kkv-knál

A kis- és középvállalkozások életében megfigyelhető az a tendencia, hogy bár saját piaci és működési környezetüket ismerik, a fizetési megoldásokban rejlő lehetőségekkel egyáltalán nem vagy csak alig vannak tisztában.

A digitális átalakulás szép elv. De ha mindent az azonnali megtérülés és az IT-költségek csökkentése vezérel, akkor csak elv marad – súlyos valós következményekkel. Takács István Péter írása.

Az élethosszig tartó tanulás lesz a legfontosabb képességünk

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az SAP megnyerte az első csatát: elsőfokú döntés született a közvetett szoftver felhasználás licencdíj vonzatairól. Dr. Andriska Zsófia (IPR-Insights) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2017 Bitport.hu Média Kft. Minden jog fenntartva.