Mellékleteink: HUP | Gamekapocs
Keres
Komoly security line-up az idei SYSADMINDAY-en: FPS játékok hackelésétől a hálózati szemfényvesztésen át a COM-Object Hijackingig!

Végre az Apple is fizet a biztonsági résekért

Hlács Ferenc, 2016. augusztus 05. 12:30
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Jobb későn mint soha: az Apple is elindítja saját bug bounty programját, igaz egyelőre csak meghívásos alapon. A kezdeményezéssel a vállalat az iOS, illetve mobileszközei biztonságát igyekszik tovább erősíteni.

Komoly lemaradást próbál behozni az Apple, a cupertinói vállalat végre maga is bug bounty programot indít, bár egyelőre csak meghívásos alapon. A program, melynek keretei között a vállalat jutalmat oszt az iOS platformján, illetve készülékeiben talált biztonsági rések felfedezőinek, a tech-óriások körében mára alapvetőnek számít, az Apple ugyanakkor eddig makacsul elzárkózott a veszélyes bugok bejelentőinek megjutalmazása elől. Ez hosszú távon nem a legkifizetődőbb hozzáállás, ugyanis ha a vállalat nem is, az FBI és más igazságszolgáltatási szervek, illetve a különböző online bűnszervezetek szívesen fizetnek busás összegeket egy-egy sok felhasználót érintő sebezhetőségért.

A bug bounty programok során lényegében őket kell a cégeknek felüllicitálni, ez pedig jellemzően nem könnyű feladat, a TechCrunch szerint volt olyan biztonsági rés, amelyért az FBI közel egymillió dollárt perkált ki. Az Apple eddig épp erre hivatkozva zárkózott el a jutalomosztástól, mondván a fenti szervezetek úgyis mindig többet kínálnak, mint az érintett vállalat. A cég szerencsére most változtatott álláspontján és belátta, hogy igenis van értelme a hasonló programoknak és legalább az esélyét megadja, hogy a hibák felfedezői beérjék az általa felajánlott összeggel. Erre egyébként komoly esély van, a Google például tavaly összesen kétmillió dollárt osztott ki a hibák megtalálói között.

Igaz a fentebb említett, egymilliós rekordot nem dönti meg, azért az Apple sem aprópénzzel dobálózik: a komolyabb biztonsági résekért a frissen indított program keretei között akár 200 000 dollárt is kifizet. A régóta várt kezdeményezését a vállalat biztonsági vezetője, Ivan Krstic a Black Hat biztonsági konferencián jelentette be, ahol az Apple mintegy négy év után először képviseltette magát. A vállalat szerint rendszereinek fejlődésével saját biztonsági csapatának egyre nehezebb feladatot jelent az esetleges hibák gyors felfedezése, ezért ideje a cégen kívüli kutatóközösséggel bővíteni az erőforrásokat.

A díjazott sérülékenységek első kategóriáját a különböző sandbox környezetekből való kijutást, illetve a felhasználói adatokhoz való hozzáférést engedő bugok jelentik, ezekért a cég akár 25 ezer dollárt is fizethet. Ha valakinek sikerül illetéktelenül hozzáférni az Apple szerverein az iCloudban tárolt adatokhoz, netán kernelszintű jogosultságokkal rosszindulatú kódot futtatni a cég eszközein, az már 50 ezer dollárt is kaphat. A vállalat készülékein az ujjlenyomat-adatokat tartalmazó Secure Enclav-be való bejutás már 100 ezer dollárt is megérhet az Apple-nek, a legnagyobb, 200 ezres díjat pedig a secure boot firmware komponensekben található hibákért lehet besöpörni.

A szeptemberben rajtoló kezdeményezés komoly előrelépés a cég részéről, az ugyanakkor még mindig nem teljesen nyílt, az érdeklődők meghívásos alapon vehetnek részt az Apple bug bountyjában. A vállalat az első információk szerint csak olyan biztonsági szakértőket válogat be a programba, akik a múltban már valamilyen hasznos felfedezéssel hozzájárultak platformjának biztonságosabbá tételéhez. A gyártó több, saját bug bounty programját már évek óta folytató céggel egyeztetett, végül pedig azért döntött a meghívásos rendszer mellett, mert egy teljesen nyílt megoldás túl sok, adott esetben hasznavehetetlen jelentést hozna, amelyek közül nehezebb lenne kiszűrni a valóban fontosakat.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
FPS játékok hackelésétől a hálózati szemfényvesztésen át a COM-Object Hijackingig: Veres-Szentkirályi András (Silent Signal), Balázs Zoli (MRG Effitas), Marosi-Bauer Attila (Hacktivity) és sokan mások. A standupot Felméri tolja.