Comments 9
А вот тут чел со мной спорил, когда я говорил что при плохом bug bounty выгоднее продать налево нежели получить гроши.
Всё упирается в мораль. Кто-то будет продавать "налево" и при офигительном "bug bounty". Просто потому что чем лучше "bug bounty", тем меньше эксплоитов и тем они дороже.
Но вот в тот факт, что у спецслужб не нашлось наскольких дыр "в заначке" — я не верю вообще. Хотели бы — вскрыли. Думаю всё проще: у них лежат как минимум десятки (а скорее — сотни, тысячи) залоченных телефонов и им лень с ними бороться, хочется используя "громкое" дело заставить этим заниматься не спецслужбы (которые за каждый акт вскрытия будут требовать кучу денег), а производителя (которого можно заставить то же самое делать бесплатно).
Но вот в тот факт, что у спецслужб не нашлось наскольких дыр "в заначке" — я не верю вообще. Хотели бы — вскрыли. Думаю всё проще: у них лежат как минимум десятки (а скорее — сотни, тысячи) залоченных телефонов и им лень с ними бороться, хочется используя "громкое" дело заставить этим заниматься не спецслужбы (которые за каждый акт вскрытия будут требовать кучу денег), а производителя (которого можно заставить то же самое делать бесплатно).
А если Bug bounty нет вообще, то это выгодно во всех случаях.
UFO just landed and posted this here
Добавлю ссылку на недавнюю презентацию Штефана i0n1c Ессера об атаках на SIP, в которой он тоже считает, что баунти бы не помешало.
Данная тема еще раз подняла вопрос отсутствия программы bug bounty, что заставляет security-компании искать уязвимости в iOS и продавать эксплойты спецслужбам без уведомления Apple.
Слово "заставляет" в этом контексте выбрано крайне неудачно.
> Данная тема еще раз подняла вопрос отсутствия программы bug bounty, что заставляет security-компании искать уязвимости в iOS и продавать
> эксплойты спецслужбам без уведомления Apple.
Мне кажется, что любая bug bounty даст меньше выгоды нашедшему, и ощущение «мелковато платят, я больше хотел», чем если эту же дыру красиво и с пиаром компания будет использовать по заказу крупного и раскрученного в медиа заказчика, скажем спецслужбе.
Правда, есть подозрение, что спецслужбы и так прочитали все что хотели, но т.к. ломать официально они не могут, нашли подставную фирму, которая официально за деньги им все «сломала» и «вытащила». Творите о себе и о своих делах легенды!
> эксплойты спецслужбам без уведомления Apple.
Мне кажется, что любая bug bounty даст меньше выгоды нашедшему, и ощущение «мелковато платят, я больше хотел», чем если эту же дыру красиво и с пиаром компания будет использовать по заказу крупного и раскрученного в медиа заказчика, скажем спецслужбе.
Правда, есть подозрение, что спецслужбы и так прочитали все что хотели, но т.к. ломать официально они не могут, нашли подставную фирму, которая официально за деньги им все «сломала» и «вытащила». Творите о себе и о своих делах легенды!
Такая ситуация неприемлема для Apple, которая не предлагает подобной программы, а значит не стимулирует ресерчеров на поиск уязвимостей, что сказывается и на репутации Apple как компании.
С другой стороны, такая политика Apple не стимулирует исследователей и те меньше ищут баги и уязвимости в их продуктах, в сравнении с конкурентами. Как следствие, меньше публикаций на эту мету. И опять же, как следствие, простому обывателю кажется что багов меньше, платформа надежнее и т.д.
Возможно речь идет о репутации компании среди самих исследователей?
Но в таком случае это всего лишь бизнес.
С другой стороны, такая политика Apple не стимулирует исследователей и те меньше ищут баги и уязвимости в их продуктах, в сравнении с конкурентами. Как следствие, меньше публикаций на эту мету. И опять же, как следствие, простому обывателю кажется что багов меньше, платформа надежнее и т.д.
Возможно речь идет о репутации компании среди самих исследователей?
Но в таком случае это всего лишь бизнес.
Sign up to leave a comment.
Отсутствие программы bug bounty сыграло с Apple злую шутку