Míg az Apple maximum 200 ezret adna egy, az iPhone-ok operációs rendszerében talált biztonsági résért, van, aki több mint a dupláját is kifizetné érte. A miértre is fény derül cikkünkben.

Amint arról mi is írtunk, akár 200 ezer dollárt is lehet keresni azzal, ha valaki egy Apple termékben talál biztonsági hibát. A többi techcéget követve ugyanis végre az Apple is elindította ún. bug bounty programját.  A legtöbbet a firmware Secure Boot összetevőjében megtalált sérülékenységekért fizetnek. Ez akár 200 ezer dollárt is megér az Apple-nek. Ennek felét, azaz 100 ezret ér minden olyan sérülékenység, amellyel a Secure Enclave-ból lehet kinyerni bizalmas információkat (az A7 lapkák például ezen a terület tárolják az ujjlenyomat-azonosításhoz szükséges adatokat).

Maximum 50 ezer dollárt érnek azok a sérülékenységek, amelyek rosszindulatú kódok lefuttatására adnak lehetőséget, és ugyanennyit érhetnek azok a hibák is, melyek iCloud fiókokhoz való illetéktelen hozzáférést segítik. Végül az ötödik kategória a sandbox sérüléknységek feltárása, amely maximum 25 ezer dollárt érhet.

Még ez is kevés?

Hiába tűnnek soknak a fenti összegek, nemrég rálicitált valaki a Steve Jobs alapította vállalatra. Az Exodus Intelligence alig pár nappal az Apple bejelentése után azzal állt a nyilvánosság elé, hogy akár több mint a dupláját, bizonyos feltételek esetén félmillió dollárt is hajlandó kifizetni egy, az iOS 9.3-ban (vagy annál újabb mobil operációs rendszerben) talált, korábban ismeretlen biztonsági résről szóló információért.

A biztonsági résekről szóló adatokkal kereskedő cég közzétette a legfontosabb rendszerekben fellelhető sebezhetőségek árlistáját. Eszerint maximum 150 ezer dollárt fizetnek egy Google Chrome-ban talált sérülékenységért, a Microsoft Edge esetén 125 ezer dollár ez a tarifa, Firefox-ban 80 ezer, Windows 10 LPE környezetben 75 ezer, Adobe Readerben és a leszálló ágban levő Adobe Flash-ben pedig 60 ezer dollár.

A sebezhetőséget felfedezőknek egyébként lehetőségük van az egyszeri díj helyett alacsonyabb összegű, de a hiba kijavításáig folyamatosan, bizonyos időközönként járó pénzjutalomban részesülni. Az Exodus egyébként nem csak amerikai pénznemben kínál ellenszolgáltatást, igény szerint bitcoinban is fizethet.

Miért fizetne bárki más a gyártón kívül?

És ezt nyugodtan nevezhetjük is a millió dolláros kérdésnek. Két okból nyithatja ki a pénztárcáját egy külső cég. Egyrészt azért, hogy a megfelelő információk birtokában vagy kiaknázza a sebezhetőséget – ennek (büntető)jogi veszélye miatt a fejlett világban kicsi az esélye -, vagy értékesítse a tudást a szürke zónában. Utóbbi esetben többször is el lehet adni az információt, így összességében bőven megtérülhet a befektetés.

Másrészt azért dönthet úgy, hogy felvásárolja az új, még nem dokumentált sérülékenységekről szóló beszámolókat, mert azt gondolja, hogy saját érdekérvényesítő képessége jobb, mint egy-egy biztonsági kutatóé. Megpróbálhatja felsrófolni az érintett vállalatok irányában a fellelt sebezhetőség árát, tehát például az Exodus azt hiheti, hogy az Apple esetében jóval többet kérhet el, mint az általa kínált 500 ezer dollár. Így mindenki nyer az üzleten - a biztonsági rést felfedező több pénzt kap és az Exodus is bőven ellensúlyozza kiadását -, kivéve persze az Apple-t.

Egyébként nem ez az első – és valószínűleg nem is az utolsó – eset, amikor külső fél többet fizet egy sebezhetőségért, mint az érintett rendszer fejlesztője. Tavaly novemberben a szintén ebben a bizniszben utazó Zerodium egymillió dollárral jutalmazta azt a távolról kihasználható biztonsági rést, mely az Apple iOS 9 rendszereket érintette. Vagy ott van az Amerikai Szövetség Nyomozóhivatal esete: az FBI például állítólag 1 millió dollárt fizetett azért, hogy egy szakértő cég feltörjön egy iPhone-t. 

Biztonság

Podcastokat szinkronizál géppel a Spotify

A svéd szolgáltató egyelőre néhány népszerű podcastot igyekszik minél több emberhez eljuttatni. Természetesen az MI hatékony közreműködésével.
 
A világ a "cloud first" stratégiát követi. Nem kérdés, hogy a IT-biztonságnak is azzal kell tartania a tempót, de nem felejtheti, hogy honnan startolt.

a melléklet támogatója a Clico Hungary

Hirdetés

Jön a Clico formabontó cloud meetupja, ahol eloszlatják a viharfelhőket

Merre mennek a bitek a felhőben, ledobja-e szemellenzőjét az IT-biztonságért felelős kolléga, ha felhőt lát, lesz-e két év múlva fejlesztés cloud nélkül? A Clico novemberben fesztelen szakmázásra hívja a szoftverfejlesztőket a müncheni sörkertek vibrálását idéző KEG sörművházba.

Minden vállalatnak számolnia kell az életciklusuk végéhez érő technológiák licencelési keresztkockázataival. Rogányi Dániel és Vincze-Berecz Tibor (IPR-Insights) írása.

Miért ne becsüljük le a kisbetűs jelszavakat? 1. rész

Miért ne becsüljük le a kisbetűs jelszavakat? 2. rész

Miért ne becsüljük le a kisbetűs jelszavakat? 3. rész

A felmérésekből egyre inkább kiderül, hogy az alkalmazottak megtartása vagy távozása sokszor azon múlik, amit a szervezetük nem csinál, nem pedig azon, amiben egymásra licitál a többi munkáltatóval.

Ezért fontos számszerűsíteni a biztonsági kockázatokat

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2023 Bitport.hu Média Kft. Minden jog fenntartva.