Comments 28
А потом удивляются -- кто же и зачем поставляет информацию об уязвимостях в продукции Apple компаниям вроде NSO Group? Такие истории мотивируют исследователей и дальше сливать уязвимости не разработчику, а мутным личностям
Эксплуатация уязвимости в любом случае даёт больше материальной выгоды, чем устранение. Если пренебречь законами и нравственностью, тогда выгоднее сливать.
Эксплуатация уязвимости в любом случае даёт больше материальной выгоды
Не в любом. Как минимум, есть репутация и портфолио, и оно тоже дорогого стоит на рынке. Можно похвалиться найденной и официально ответственно переданной разработчику уязвимостью. Слитой мутным конторам уязвимостью широко хвалиться не будешь. Ну и риски тоже чего-то стоят.
Ну и раньше, к примеру, Google на pwn2own давал очень неплохие деньги за RCE. В 2012, помню, давали $60k. И тогда всех удивляли люди из Vupen Security, которые показывали пробитие Хрома на последней версии ОС и отказывались сдавать Google уязвимость. Сейчас расценки должны быть куда выше.
Атакуемый при всём желании не может заплатить за уязвимости больше, чем у него есть свободных денег. В то время как каждая критическая уязвимость в отдельности может, будучи использована для уничтожения цели, принести атакующему выгоду в размере стоимости атакуемого.
Короче, эти расценки не имеют экономически обоснованной величины. Почему 60k, а не 60kkk?
А за такое:
которые показывали пробитие Хрома на последней версии ОС и отказывались сдавать Google уязвимость
было бы разумно сажать в тюрьму, подходя к решению проблемы со стороны кнута, а не пряника.
Как говорила покойная королева Великобритании, "мы не ведём переговоров с террористами". Вы же не станете требовать денег за информацию о бородатом мужике с бомбой на улице, прикидывая, не выгоднее ли вступить в сговор с его друзьями? С другой стороны, если некто начнёт копаться в вашем дверном замке и изучать его устройство, то запросто может сесть за приготовление к совершению преступления, а не получить от вас деньги.
У Apple есть собственная служба ИБ, вот пусть и занимается за зарплату.
Короче, эти расценки не имеют экономически обоснованной величины. Почему 60k, а не 60kkk?
При вознаграждении в $1k - смысла работать в белую - 0. Мужик 10-20 лет занимался пентестингом, а ему дают меньше от прожиточного минимума. Куда он пойдет? Правильно в лагерь Black hat. Стало лучше?
Идём по кругу. Экономического смысла работать в белую вообще нет и не может быть. Воровать экономически выгоднее, чем охранять (если не посадят).
Идём по кругу. Экономического смысла работать в белую вообще нет и не может быть.
Есть. Если разница в суммах не такая, чтобы коренным образом поменять вашу жизнь - не стоит даже связываться. Если у вас доход $100к net, то, держу пари, вы не согласитесь работать за $200k, но с определенной вероятностью посидеть лет на 12. Ситуация меняется, если вы получали $20k в год.
Если, полностью разрушив вашу фирму, можно получить $200k скажем, на банду из 20 человек (то есть все ваши ликвидные активы равны $4m), то откуда у вас возьмутся деньги платить по $100k каждому пентестеру?
Вы не можете все свои активы потратить на защиту, а нападению они могут достаться.
Я бы хотел посмореть на человека, готового заплатить $200к с возможностью сесть надолго за "уничтожение фирмы стоимостью $4m.
Если моя фирма стоит $4m, то её смысла ломать вообще нет. Если только рада фана. Apple - совсем другая история.
Если, полностью разрушив вашу фирму, можно получить $200k скажем, на банду из 20 человек
А если как в данном случае, экономика вашей фирмы находится где-то между экономикой Чехии и Румынии, а рыночная стоимость - годовому ВВП Франции, вы можете позволить вашим пентестерам платить достойные деньги?
Атакуемый при всём желании не может заплатить за уязвимости больше, чем у него есть свободных денег.
У эппл осталась всего штука баксов на счетах? Вы меня пугаете...
...А в России он бы уже сидел давно.
... в ВК-Горгаз и пилил бы новый браузер Чебурашка 2.0
Не всегда так работает. Вот, к примеру, Дмитрий Скляров в России не сидел ни до, ни после. А как приехал в США на конференцию по безопасности рассказывать про уязвимости Adobe, так был арестован прямо в аэропорту и несколько месяцев пребывал за решёткой.
И было бы правильно (хоть и не правда). Сам факт равноправного рассматривания варианта продажи уязвимости преступникам этому фундамент.
Сразу видно, что даже эпл плевать на свой браузер, а не только реальному юзеру
В шутку он заявил, что ему уже пора заканчивать с баг-баунти и надо начинать искать нормальную работу.
Он просто мог бы продавать найденные в продуктах Apple баги другим, кхм, заказчикам, у которых баунти толще.
Например, просматривать файлы iCloud и запускать камеру.
Это что теперь получается, слитых нюдесов целебрити теперь не будет?
Похоже что в этом плане Apple не сильно щедрые. Я однажды зарепортил серьезную проблему безопасности при доступе к диску в TimeCapsule. Но мне даже не ответили.
«Мне надо искать нормальную работу»: исследователь нашёл критическую ошибку в Safari, за это ему заплатили $1000