Apple Apple запускає програму Bug Bounty у Black Hat USA 2016

$config[ads_kvadrat] not found

Настя и сборник весёлых историй

Настя и сборник весёлых историй
Anonim

Apple, нарешті, має програму помилок.

Керівник компанії з інженерної безпеки та архітектури Іван Крстіч оголосив про запрошення тільки в рамках рідкісного публічного виступу на конвенції Black Hat USA 2016 у Лас-Вегасі в ніч на 4 серпня.

Крстіч, чия команда керує відповідальністю за всебічну безпеку всіх продуктів Apple, заявила, що компанія заплатить до 200 000 доларів за помилки, виявлені під час його презентації у четвер, під назвою "За сценою безпеки iOS".

Компенсація залежить від хака: доступ до даних з додатками в пробках коштує до $ 25,000, а компрометація безпечних компонентів прошивки завантаження може привести до максимуму $ 200,000.

Нагородження хакерів за розкриття вразливостей безпеки, а не для їхнього таємного використання, стає все більш поширеним - кожен з Uber до Пентагону робить це.

Перехід компанії Apple від опори на доброзичливість дослідників до надання винагороди за розкриття помилок, ймовірно, мотивується рухом iPhone 5c, підключеного до зйомки в Сан-Бернардіно 2015 року. Громадськість мало знає про хак і чи можна її ще використовувати для розриву. в iPhone.

Учасник Black Hat Роберт Маккарті Tweeted:

Аудиторія: - Скільки питання ФБР вплинуло на вашу позицію?

Іван Крстіч: "Я тут інженер, щоб відповісти на технічні питання"

Навіть ФБР, який заплатив ще невідомої третьої сторони, щоб зламати iPhone, коли Apple відмовився допомагати у справі, не знає, як був скомпрометований пристрій. Можливо, це навіть не знає, скільки коштує хак, оскільки стверджуючи, що директор ФБР Джеймс Коумі коштує близько $ 1,3 млн., Було спростовано пізнішими звітами, які стверджували, що вони коштують менше $ 1 млн.

Ця неоднозначність ще більше стосується, оскільки ФБР нічого не знайшло на пристрої. Це означає, що один з найголовніших правоохоронних органів в усьому світі дав невідомі гроші невідомій компанії, щоб виконати невідомий хак - що доводить, що це може бути зроблено, і що кожен, хто має iPhone 5c, перебуває під загрозою - не отримуючи нічого натомість.

Програма Bounty може дозволити Apple усунути деякі з цих змінних і зробити свою продукцію більш безпечною. Проте дивно, що програма почнеться з кількох десятків дослідників і розширюватиметься лише за запрошенням. Суть програми «Баунтна помилка», як правило, полягає в тому, щоб залучити якомога більше людей до різних функцій безпеки, щоб побачити, що вони можуть обійти.

Як повідомляється, Apple планує запросити більше людей до програми з часом, а також «запросити» всіх, хто повідомляє про серйозну вразливість через інші канали, але на даний момент, здається, Apple просто занурює свої пальці в пул багатства помилок. Це характерно для компанії, яка часто є обережною, але, ймовірно, буде для всіх, хто хоче, щоб якнайшвидше змагатися за винагороди.

Тим не менш, це безпомилковий прогрес для Apple. Таким чином, Крстіст з'явився на події, подібно Black Hat USA, в першу чергу. У поєднанні з іншими змінами, як, наприклад, рішення не шифрувати ядро ​​iOS 10, здається, що спадщина епізоду Сан-Бернардіно може бути яблуком, який готовий вийти з тіні, щоб утримати багато людей, які використовують його продукти, трохи безпечніше.

$config[ads_kvadrat] not found