През август Apple тържествено стартира своята програма за заплащане на възнаграждения за открити уязвимости. Подобни програми отдавна се използват в повечето големи IT компании. Microsoft най-дълго се съпротивляваше на тази тенденция, но се предаде през 2013 година със стартирането на Microsoft Bounty Programs. По този начин Apple остана една от последните, която не плаща на хакерите за разкритите уязвимости и тази новина бе благоприятно приета от обществото.

Само че има проблем: през изминалата една година така и не чухме за нито един случай някой да е получил пари от Apple. Може би на хакерите са забранили да говорят за това. А може те просто да са решили да продадат експлойтите си на черния пазар при многократно по-висока цена.

Скрийншот на запитването, проведено от Джонатан Здзиарски, който стана известен със своите джейлбрейкове, а сега е специалист по безопасност. Неотдавна той започна работа в Apple и изтри акаунта си в Twitter.

Бивш служител на компанията каза, че Apple се стреми към перфекционизъм, включително и в програмата си за заплащане на уязвимости.

Но след скандала с ФБР стана ясно, че така не може да се продължава. Да си припомним, че ФБР дълго иска от Apple да отключи телефона на известен терорист, но Apple отказваше да направи това, за да защити своите потребители от следене и подслушване. В края на краищата агентите на ФБР се оправиха и без Apple, след като заплатиха на хакерска фирма, която имаше 0day експлойт за iOS. Специалните служби заплатиха огромна сума за този експлойт. Предполага се в размер на над $1,3 милиона. The New York Times тогава обяви, че хакерите просто не са имали стимул да съобщават на Apple за тази уязвимост. В смисъл, финансов стимул, понеже тогава Apple не плащаше за намерени уязвимости.

Явно Apple стигна до правилните изводи и през месец август стартира своя програма за финансови поощрения. Но и тук, както навсякъде, постъпи по свой собствен начин. Въпреки че анонсът бе публичен, Apple продължи да действа скрито. Условията по тази програма не са публично публикувани, а да се участва в нея е възможно само по покана.

Сега знаем и размера на възнагражденията. На един от слайдовете по време на презентацията се вижда, че максималното възнаграждение от $200 хиляди се дава за разбиването на някой от компонентите на Secure Boot. Минималните $25 хиляди се полагат за извеждане на процес извън пясъчника и за достъп до персоналните данни на потребителя.

На практика всички са на мнение, че $200 хиляди са съвсем недостатъчна сума за 0day на iOS. Тези експлойти са редки и цената им на черния пазар е много висока. След появата на този слайд, компанията Zerodium увеличи сумите за закупуването на джейлбрейк за iOS. Цената на най-ценното: отдалечения джейлбрейк за iOS 10 скочи тройно – от $500 хиляди на $1,5 милиона.

И на кого бихте продали своя джейлбрейк? На Apple за $200 хиляди или на Zerodium за $1,5 милиона. Това е по-скоро риторичен въпрос и едва ли някой ще се смути от това, че Zerodium си сътрудничи със специалните служби и силови структури от целия свят, а нейните експлойти могат да се използват за държавен шпионаж и други твърде некрасиви неща.

Има и друг отенък. Съвсем не е сигурно, че ако Apple повиши цените на експлойтите до пазарно ниво, то това ще реши проблема. Тук икономиката работи по друг начин. Ако Apple покачи цените, то 0day за iOS ще станат още по-редки и цените на черния пазар отново ще скочат. Но бъговете ще останат съвсем малко и ще продължат да намаляват. Всъщност, това е и основната цел на на програмите за заплащане на уязвимости.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest

3 Коментара
стари
нови оценка
Отзиви
Всички коментари