Apple - Αμοιβή σε όποιον βρει κενά ασφαλείας στο λειτουργικό της

Apple - Αμοιβή σε όποιον βρει κενά ασφαλείας στο λειτουργικό της
ired.gr

 Με ένα bug bounty πρόγραμμα, η Apple «χαρίζει» έως και 200.000 $ σε όσους εντοπίσουν ευπάθειες στο σύστημά της.

Οι εταιρείες τεχνολογίας κρατούν στοιχεία για πολλές από τις προσωπικές μας πληροφορίες: λεπτομέρειες πληρωμών, ιατρικούς φακέλους, αρχεία σχέσεων, φωτογραφίες μελών της οικογένειας, συνομιλίες. Όσο παραδίνουμε ολοένα και περισσότερα προσωπικά δεδομένα, γίνεται πιο σημαντικό οι εταιρείες αυτές να κερδίζουν την εμπιστοσύνη μας.

Κατά τα τελευταία πέντε χρόνια, οι μεγαλύτερες εταιρίες τεχνολογίας έχουν συστήσει προγράμματα bug bounty, δηλαδή απευθύνονται σε ιδιώτες ζητώντας τους να εντοπίσουν ευπάθειες στο σύστημά τους, με χρηματικό αντάλλαγμα. Οι εταιρείες που δεν έχουν τεχνική εμπειρογνωμοσύνη για να λειτουργούν τα δικά τους προγράμματα αναθέτουν αυτό το σημαντικό έργο της ασφάλειας σε εξωτερικούς συνεργάτες.

Για χρόνια, η Apple αρνιόταν να πληρώσει για αναφορές σφαλμάτων, γεγονός που απογοήτευε τους ερευνητές οι οποίοι δυσκολεύονταν να αναφέρουν ελλείψεις ασφαλείας. Αυτό άλλαξε πριν από λίγες ημέρες, όταν η Apple, στο πρόσφατο συνέδριο InfoSec, ανακοίνωσε, δια στόματος Ivan Krstic (Head of security engineering and architecture) ότι θα αρχίσει να πριμοδοτεί μέχρι και 200.000 $ τους ερευνητές που θα ανακαλύπτουν τα τρωτά σημεία στα προϊόντα και στις υπηρεσίες της.

Ένα πρόγραμμα big bounty είναι απίθανο να δελεάσει κάποιον hacker που ενδιαφέρεται μόνο για τα χρήματα. Για όσους ενδιαφέρονται απλά για ένα κίνητρο ώστε να κάνουν καλή δουλειά, τότε η υψηλή προσφορά της Apple είναι πολύ θετική.

Το πρόγραμμα big bounty της Apple είναι ανοικτό μόνο για ερευνητές που έχουν ξανα-συνεργαστεί στο παρελθόν με την εταιρεία. Ένα τεράστιο άνοιγμα στο κοινό θα έφερνε κατακλυσμό εκθέσεων, γεγονός που θα μπορούσε να επισκιάσει τα τρωτά σημεία υψηλού κινδύνου. Ωστόσο, η Apple δεν θα αποτρέψει νέους ερευνητές, εφόσον παρέχουν χρήσιμες πληροφορίες και σχεδιάζει στο μέλλον να επεκτείνει το πρόγραμμα.

Το πρόγραμμα ξεκινά τον Σεπτέμβριο και χωρίζεται σε πέντε κατηγορίες κινδύνων και ανταμοιβής:

  • Secure boot firmware: $200,000
  • Extraction of confidential material protected by the Secure Enclave Processor: $100,000
  • Execution of arbitrary code w/kernel privs: $50,000
  • Unauthorized access to iCloud account data on Apple Servers: $50,000
  • Access from a sandboxed process to user data outside of that sandbox: $25,000

Διαβάστε επίσης: «Το 2016 η Apple θα γίνει στόχος των hacker»

Από mirelen