Míg az Apple maximum 200 ezret adna egy, az iPhone-ok operációs rendszerében talált biztonsági résért, van, aki több mint a dupláját is kifizetné érte. A miértre is fény derül cikkünkben.

Amint arról mi is írtunk, akár 200 ezer dollárt is lehet keresni azzal, ha valaki egy Apple termékben talál biztonsági hibát. A többi techcéget követve ugyanis végre az Apple is elindította ún. bug bounty programját.  A legtöbbet a firmware Secure Boot összetevőjében megtalált sérülékenységekért fizetnek. Ez akár 200 ezer dollárt is megér az Apple-nek. Ennek felét, azaz 100 ezret ér minden olyan sérülékenység, amellyel a Secure Enclave-ból lehet kinyerni bizalmas információkat (az A7 lapkák például ezen a terület tárolják az ujjlenyomat-azonosításhoz szükséges adatokat).

Maximum 50 ezer dollárt érnek azok a sérülékenységek, amelyek rosszindulatú kódok lefuttatására adnak lehetőséget, és ugyanennyit érhetnek azok a hibák is, melyek iCloud fiókokhoz való illetéktelen hozzáférést segítik. Végül az ötödik kategória a sandbox sérüléknységek feltárása, amely maximum 25 ezer dollárt érhet.

Még ez is kevés?

Hiába tűnnek soknak a fenti összegek, nemrég rálicitált valaki a Steve Jobs alapította vállalatra. Az Exodus Intelligence alig pár nappal az Apple bejelentése után azzal állt a nyilvánosság elé, hogy akár több mint a dupláját, bizonyos feltételek esetén félmillió dollárt is hajlandó kifizetni egy, az iOS 9.3-ban (vagy annál újabb mobil operációs rendszerben) talált, korábban ismeretlen biztonsági résről szóló információért.

A biztonsági résekről szóló adatokkal kereskedő cég közzétette a legfontosabb rendszerekben fellelhető sebezhetőségek árlistáját. Eszerint maximum 150 ezer dollárt fizetnek egy Google Chrome-ban talált sérülékenységért, a Microsoft Edge esetén 125 ezer dollár ez a tarifa, Firefox-ban 80 ezer, Windows 10 LPE környezetben 75 ezer, Adobe Readerben és a leszálló ágban levő Adobe Flash-ben pedig 60 ezer dollár.

A sebezhetőséget felfedezőknek egyébként lehetőségük van az egyszeri díj helyett alacsonyabb összegű, de a hiba kijavításáig folyamatosan, bizonyos időközönként járó pénzjutalomban részesülni. Az Exodus egyébként nem csak amerikai pénznemben kínál ellenszolgáltatást, igény szerint bitcoinban is fizethet.

Miért fizetne bárki más a gyártón kívül?

És ezt nyugodtan nevezhetjük is a millió dolláros kérdésnek. Két okból nyithatja ki a pénztárcáját egy külső cég. Egyrészt azért, hogy a megfelelő információk birtokában vagy kiaknázza a sebezhetőséget – ennek (büntető)jogi veszélye miatt a fejlett világban kicsi az esélye -, vagy értékesítse a tudást a szürke zónában. Utóbbi esetben többször is el lehet adni az információt, így összességében bőven megtérülhet a befektetés.

Másrészt azért dönthet úgy, hogy felvásárolja az új, még nem dokumentált sérülékenységekről szóló beszámolókat, mert azt gondolja, hogy saját érdekérvényesítő képessége jobb, mint egy-egy biztonsági kutatóé. Megpróbálhatja felsrófolni az érintett vállalatok irányában a fellelt sebezhetőség árát, tehát például az Exodus azt hiheti, hogy az Apple esetében jóval többet kérhet el, mint az általa kínált 500 ezer dollár. Így mindenki nyer az üzleten - a biztonsági rést felfedező több pénzt kap és az Exodus is bőven ellensúlyozza kiadását -, kivéve persze az Apple-t.

Egyébként nem ez az első – és valószínűleg nem is az utolsó – eset, amikor külső fél többet fizet egy sebezhetőségért, mint az érintett rendszer fejlesztője. Tavaly novemberben a szintén ebben a bizniszben utazó Zerodium egymillió dollárral jutalmazta azt a távolról kihasználható biztonsági rést, mely az Apple iOS 9 rendszereket érintette. Vagy ott van az Amerikai Szövetség Nyomozóhivatal esete: az FBI például állítólag 1 millió dollárt fizetett azért, hogy egy szakértő cég feltörjön egy iPhone-t. 

Biztonság

Hadat üzennek a Wikipedia szerkesztői az MI-szennyezésnek

Programot indítottak a Wikipédia védelmében a félrevezető, mesterséges intelligenciával generált információval szemben, ami általában is egyre nagyobb mértékben károsítja az online információs teret.
 
Hirdetés

A japán bölcsesség ereje: emberség a technológiai megoldások mögött

A globális válság súlyosan érintette az office piacot, ami a GLOBAL-UNION Kft. tevékenységét is veszélybe sodorta. A 100 százalékos magyar tulajdonban álló vállalat azonban a nehézségek közepette is megőrizte optimizmusát, és következetesen a legjobb döntéseket hozta.

A probléma szorosan összefügg a felhő miatt egyre népszerűbb mikroszerviz architektúrák és webalkalmazások, pontosabban a használatukhoz szükséges API-k terjedésével.

a melléklet támogatója a Clico Hungary

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.