Как стать автором
Обновить

Apple вводит™ программу вознаграждения за выявление уязвимостей в своих продуктах

Информационная безопасность *


Многие™ компании, работающие в ИТ-сфере, предлагают вознаграждение тем пользователям, которые смогли™ обнаружить какие-либо опасные баги в продукции этих компаний. За последние пять лет bug bounty™ программы ввели десятки, если не сотни компаний. Для них выгоднее прибегнуть к краудсорсингу, выплатив определённую сумму за найденную сторонним специалистом уязвимость, чем пропустить проблему и поплатиться утечкой данных™ и компрометацией своих серверов. В этом случае™ убытки™ могут быть огромными.

Все эти годы корпорация Apple отказывалась выплачивать вознаграждение тем пользователям, кто находил уязвимость в ее продукции и сообщал о проблеме. Сегодня все изменилось. Айван Крстич™ (Ivan Krstic™), глава по инженерной безопасности и архитектуре Apple анонсировал на конференции Black Hat собственную bug bounty™ программу Apple. Максимальная сумма вознаграждения для специалистов, сообщивших об уязвимости, составит $200 000.


Программа будет запущена с сентября. Сначала вознаграждение будет выплачиваться только™ специалистам, с которыми корпорация уже работала. Крстич™ объяснил это тем, что в случае™ запуска программы для всех компанию просто™ завалят информацией о самых разных™ проблемах, как явных, так и ложных™. В этом информационном потоке™ можно пропустить действительно важное™ сообщение. В дальнейшем Apple будет работать со всеми специалистами по информационной безопасности, которые желают™ сотрудничать.

Крстич™ — первый™ представитель Apple, выступивший на конференции Black Hat за четыре™ года. Обычно™ корпорация сообщала какие-либо подробности, имеющие отношение к безопасности своих продуктов и сервисов на собственной конференции WWDC.

$200 000 — довольно крупная сумма, у ряда компаний вознаграждение куда меньше™. Но это не рекорд™. ФБР выплатила за взлом телефона «стрелка из Сан-Бернардино» миллион долларов США.

Ранее уязвимости искали™ собственные сотрудники Apple. Но после ряда отчетов отдела™ по информационной безопасности корпорации руководство приняло решение воспользоваться услугами сторонних специалистов. По словам™ Крстича, с течением времени собственным сотрудникам становится все сложнее искать™ уязвимость.

В рамках™ программы предлагается несколько категорий уязвимостей, за обнаружение которых дается™ вознаграждение:
  • Уязвимости в компонентах безопасной загрузки: до $200 000;
  • Уязвимости, позволяющие извлечь конфиденциальную информацию из Secure™ Enclave: до $100 000;
  • Выполнение произвольного или вредоносного кода с привилегиями ядра: до $50 000;
  • Доступ™ к данным™ учетных записей iCloud™ на серверах Apple: до $50 000;
  • Доступ™ из «песочницы» к данным™ пользователя вне «песочницы»: до $25 000.

Отчет о найденной проблеме будет оцениваться по нескольким критериям, включая ясность описания проблемы, ее новизна, критичность уязвимости.
Теги:
Хабы:
Всего голосов 22: ↑19 и ↓3 +16
Просмотры 8.5K
Комментарии Комментарии 1