Отсутствие программы bug bounty сыграло с Apple злую шутку

    Известно, что в отличие от своих конкурентов, таких как Google и Microsoft, у Apple отсутствует понятие bug bounty, т. е. денежного вознаграждения за обнаруженные уязвимости в своих продуктах. К основным продуктам, которые больше всего притягивают ресерчеров, относятся операционные системы OS X и iOS, а также веб-браузер Safari. Также как и в других случаях обнаружения существенных уязвимостей в ядре для jailbreak, последний кейс с значительной уязвимостью в криптографических алгоритмах сервисов компаниия, также, судя по всему, не стал исключением. Уязвимость была обнаружена исследователями университета Johns Hopkins и была исправлена Apple в вышедших обновлениях для OS X, iOS и watchOS.



    Издание NY Times отмечает, что недавно запланированное разбирательство в суде, где представители ФБР должны были встретиться с менеджерами Apple, было отложено из-за того, что некая фирма предложила ФБР свой способ извлечения зашифрованных данных с iDevice. Данная тема еще раз подняла вопрос отсутствия программы bug bounty, что заставляет security-компании искать уязвимости в iOS и продавать эксплойты спецслужбам без уведомления Apple.

    На сегодняшний день очень многие компании выплачивают денежные вознаграждения исследователям безопасности за поиск уязвимостей в продуктах и сервисах. Кроме вышеупомянутых Google и Microsoft, другие такие компании как Facebook, Twitter, Mozilla, Yandex, Uber также имеют bug bounty. Google уже заплатила исследователям безопасности более $6 млн. за обнаруженные уязвимости. Компания также предлагает $100 тыс. за обнаружение серьезной уязвимости в Chromebook.

    Компания Microsoft также имеет свою систему bug bounty, причем за обнаружение существенной уязвимости в веб-браузере или ОС, она выплачивает $100 тыс. Например, к таким кейсам относятся, обнаруженные концептуальные уязвимости, которые позволяют обходить т. н. mitigation методы, используемые в Windows для блокирования эксплойтов по умолчанию (DEP, ASLR, CFG, SEHOP, и др.). Одним из победителей такого крупного bug bounty стал известный специалист @tombkeeper компании Tencent Xuanwu Lab.

    Такая ситуация неприемлема для Apple, которая не предлагает подобной программы, а значит не стимулирует ресерчеров на поиск уязвимостей, что сказывается и на репутации Apple как компании. Кроме включения их имен в бюллетени безопасности, ресерчеры ничего не получают от компании.


    Рис. Фрагмент из бюллетеня безопасности рассылки security-announce (APPLE-SA-2016-03-21-5 OS X El Capitan 10.11.4 and Security Update 2016-002), в которой Apple анонсирует исправление существенной уязвимости в iMessage. Детали уязвимости см. здесь.

    Это создает ситуацию, при которой security-компаниям, специализирующимся на поиске уязвимостей в продуктах различных вендоров, выгодно придерживать свои эксплойты для продажи и не уведомлять о них компанию. Недавние события стали тому подтверждениям, когда по инициативе правоохранительных органов, судебное разбирательство с Apple было отложено из-за предложения одной из таких фирм ФБР предоставить инструмент по взлому iDevice и извлечения оттуда данных без знания passcode.

    Ранее мы отмечали, что в связи с террористическим актом в США, спецслужбы захотели получить законное основание для получения инструмента по расшифровке данных с устройств под управлением iOS. С такой ситуацией не согласилась Apple и дело дошло до суда, а также большой полемики в обществе. Apple не торопиться вставлять бэкдор в iOS, поскольку прекрасно понимает какое негодование это может вызвать у пользователей. Сотрудники также грозят Apple увольнением в том случае, если компания пойдет на уступки.
    • +8
    • 19,7k
    • 9
    ESET NOD32
    107,00
    Компания
    Поделиться публикацией

    Комментарии 9

      +2
      А вот тут чел со мной спорил, когда я говорил что при плохом bug bounty выгоднее продать налево нежели получить гроши.
        +1
        Всё упирается в мораль. Кто-то будет продавать "налево" и при офигительном "bug bounty". Просто потому что чем лучше "bug bounty", тем меньше эксплоитов и тем они дороже.
        Но вот в тот факт, что у спецслужб не нашлось наскольких дыр "в заначке" — я не верю вообще. Хотели бы — вскрыли. Думаю всё проще: у них лежат как минимум десятки (а скорее — сотни, тысячи) залоченных телефонов и им лень с ними бороться, хочется используя "громкое" дело заставить этим заниматься не спецслужбы (которые за каждый акт вскрытия будут требовать кучу денег), а производителя (которого можно заставить то же самое делать бесплатно).
          +2
          А если Bug bounty нет вообще, то это выгодно во всех случаях.
            0
            При любом баг баунти выгоднее продавать налево, программ которые платят за уязвимости цену хотя бы отдаленно близкую к их реальной рыночной стоимости в настоящий момент не существует.
            0
            Добавлю ссылку на недавнюю презентацию Штефана i0n1c Ессера об атаках на SIP, в которой он тоже считает, что баунти бы не помешало.
              +3
              Данная тема еще раз подняла вопрос отсутствия программы bug bounty, что заставляет security-компании искать уязвимости в iOS и продавать эксплойты спецслужбам без уведомления Apple.

              Слово "заставляет" в этом контексте выбрано крайне неудачно.
                +3
                Похоже, на перевод «to make» в лоб, хотя более подходит слово «вынуждает». «make» — вообще очень интересное слово в английском, имеет много смыслов и нюансов.
                0
                > Данная тема еще раз подняла вопрос отсутствия программы bug bounty, что заставляет security-компании искать уязвимости в iOS и продавать
                > эксплойты спецслужбам без уведомления Apple.

                Мне кажется, что любая bug bounty даст меньше выгоды нашедшему, и ощущение «мелковато платят, я больше хотел», чем если эту же дыру красиво и с пиаром компания будет использовать по заказу крупного и раскрученного в медиа заказчика, скажем спецслужбе.

                Правда, есть подозрение, что спецслужбы и так прочитали все что хотели, но т.к. ломать официально они не могут, нашли подставную фирму, которая официально за деньги им все «сломала» и «вытащила». Творите о себе и о своих делах легенды!
                  0
                  Такая ситуация неприемлема для Apple, которая не предлагает подобной программы, а значит не стимулирует ресерчеров на поиск уязвимостей, что сказывается и на репутации Apple как компании.

                  С другой стороны, такая политика Apple не стимулирует исследователей и те меньше ищут баги и уязвимости в их продуктах, в сравнении с конкурентами. Как следствие, меньше публикаций на эту мету. И опять же, как следствие, простому обывателю кажется что багов меньше, платформа надежнее и т.д.
                  Возможно речь идет о репутации компании среди самих исследователей?
                  Но в таком случае это всего лишь бизнес.

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое