Comments 34
Кстати, далеко не факт, что если Apple повысит цены на эксплойты до уровня серого рынка, то это решит проблему— смотря что тут считать проблемой: необходимость платить или незащищенность пользователей.
Ну и куда вы продадите джейлбрейк — в Apple за $200 тыс. или в Zerodium за $1,5 млн?
Итого 1,7 млн?:)
За 1.7$ тазик с цементом в подарок
Если Apple повысит цены, то 0day для iOS станут ещё более редкими
Не вижу, что от этого кто-то проигрывает
Zerodium is an American information security company founded in 2015 based in Washington, D.C..Всё легально — получите эти деньги за оказание консультационных услуг, ещё и налоги придётся заплатить :)
А они уже дальше перепродадут — в NSA, FBI, KGB…
Это оригинально, никогда не думал о такой постановке вопроса :-)
Может сразу (как эпл это любит) сразу и патенты на них оформлять? :-))
Реверс-инжиниринг запрещен как таковой (договором, авторскими правами и т.д.).
Значит дыры найденные в результате реверс-инжиниринга суть есть продукт незаконной деятельности.
По любым законам доход полученный в ходе незаконной деятельности в руках нарушителя закона не остается.
Суд не может доказать, что дыра была найдена посредством реверс инжениринга.Потребовать рассказать суд может, Но автор может отказаться сославшись на раскрытие тайны авторского права. Если и в этом случае суд попросит раскрыть ее, то автор может выторговать для себя "помилование" при раскрытие. Это же США, прецедентное право, тут можно все
Соль вот в чем: нельзя использовать код защищенный авторскими правами, а вот если его разобрать и написать код, делающий то же самое — это уже другой код, не являющийся собственностью автора оригинального продукта.
У Apple очень большие запасы денег в банках. Через скрытные дочерние компании она вывела в офшоры более $200 млрд. Эти деньги вполне можно использовать. Apple с лёгкостью может повысить награду за эксплойты настолько, что криминал (мафия, преступные группировки) не смогут с ней тягаться.
Apple вполне может сама покупать уязвимости (хоть у того же Zerodium) через подставные компании. Кстати, а откуда мы знаем, что они так не делают?
Это такой же свободный рынок, как и все остальные. Все честно. Если эппл все еще выгоднее, чем другим, они заплатят миллионы. Пока эппл так не считает. Хотя заработав на продукте миллиарды и риск потерять эти миллиарды в будущем, я бы на их месте подумал дважды насчет награды
В данном случае Вы неявно полагаете, что можно заплатить миллион (не совсем понятно, чего именно — наверно, USD) и (за)получить сотрудника, способного (и желающего) обеспечить качество.
Увы, я вынужден Вас разочаровать: даже если Вы выдадите/выделите нужную сумму, то на эту сумму сбегутся разные фуфлыжники, которые радостно пообещают Вам обеспечить контроль качества кода на нужном уровне, но эти обещания изначально пустые. Более того: я готов утверждать, что сбежавшиеся на запах денег люди не только не могут этого обеспечить — они ещё и прекрасно знают, что их обещания ложные, т.е. они и не собираются исполнять свою часть контракта. Они собираются говорить умные слова и получать хорошую зарплату — до тех пор, пока их не выгонят. И они надеются, что те, кто примут их на работу, не захотят признаваться в том, что приняли на работу фуфлогонов.
Хуже того: среди тех, кто придёт устраиваться на такую работу, скорее всего, вообще не будет людей, способных обеспечивать контроль качества кода на нужном уровне. Просто потому, что с момента успеха Билла Гейтса учебные заведения учат людей не обеспечивать контроль качества кода на нужном уровне, а впаривать заказчикам код низкого качества.
И весь ужас ситуации в том, что на её исправление требуется очень много времени — более десяти лет. И никто (ни капиталисты, ни политики) не готовы затевать проект, который даст результат так поздно — когда инициатор проекта, скорее всего, уже вышел из дела и не получит никакой награды за свои труды.
Наверно, Вы не заметили, что я никоим образом не упоминал Apple — данная проблема абсолютно универсальна для всех систем, включая MicroSoft Windows, IBM, Berkley *BSD и Linux.
У MicroSoft денег не меньше. Ну и почему они не наняли таких людей, "которые будет обеспечивать контроль качества кода на таком уровне, что взламывать его будет практически невозможно"?
Введу поправку: В учебных заведениях учат, что при дилемме
{"делать быстро тяп-ляп" или "делать медленнее, но качественно"}
учат делать выбор в сторону скорости разработки и выпуска продукта на рынок.
Это значит, что способам делать качественный код не учат вообще — ибо:
- делать качественный код быстро — невозможно;
- делать качественный код медленно — невыгодно, а значит, не нужно.
Никто не хочет сообщать Apple об уязвимостях iPhone