Вчера в сети появилась информация, что независимые торговцы эксплоитами в программном обеспечении назначили награду в один миллион долларов США тому, кто предоставит информацию о рабочей уязвимости «нулевого дня» в iOS 9.
Награду для специалистов в области безопасности и хакеров, которые смогут найти 0day-уязвимость, объявил стартап Zerodium в этот понедельник.
Предложение действует до 31 октября 2015 года, 18:00 по времени восточного побережья. Программу могут закрыть досрочно, если сумма выплат превысит выделенный на нее бюджет в $ 3,000,000.00 США.
Технологические гиганты, такие как Google или Facebook, уже давно предлагают щедрые вознаграждения тем, кто сообщает о багах и уязвимостях в их продуктах. В этот список стоит записать и Microsoft, который не так давно проводил «Bug Bounty Program» по поиску уязвимостей в своем новом браузере EDGE (тогда еще Spartan).
В тоже время компания Apple не практикует проведение Bug Bounty-программ, временами лишь указывая пользователя или группу пользователей, нашедших «дыру», в своем официальном тексте патч-ноута к iOS, патч которой эти самые дыры закрывает. Например, так было сделано с iOS 7.1, где компания указывала группу хакеров evad3rs как пользователя, обнаружившего ошибку. Ироничность ситуации в том, что evad3rs занимаются созданием джейлбрейка iOS, в том числе и того самого iOS 7.0, позже пропатченного до iOS 7.1.
Но существует и обратная сторона рынка, на которой компании среднего размера, на подобие упомянутого Zerodium, скупают информацию об уязвимостях в ПО для того, чтобы потом перепродать его за бОльшие деньги на так называемом «сером рынке», например, спецслужбам. Согласно установленным Zeroduim требованиям, эксплоит должен позволять злоумышленнику удаленно устанавливать произвольное программное обеспечение на устройства под управлением iOS 9, то есть в том числе на новые iPhone 6s и iPad. Кроме того атака должна проходить через браузеры Safari, Chrome, через текстовое или мультимедийное сообщение, bluetooth и NFC. Эксплойт должен обходить защитные механизмы iOS 9, такие как secure bootchain, rootless, ASLR, sandboxing, code signing.
«Еху! кто-то все же определил, сколько стоит единорог», — пошутил специалист по информационной безопасности Педро Вилака (Pedro Vilaca), который также проводил исследования по безопасности «яблочных» операционных систем.
Компания Apple постоянно латает дыры в безопасности своих устройств, не позволяя пользователям выйти из «клетки» их экосистемы и устанавливать пиратский софт. За точку отсчета можно взять 2007 год, когда после выхода новой прошивки 1.1.1 для iPhone, устройства, которые были разблокированы их хозяевами, превратились, буквально, в кирпичи. Хакеры помогли тысячам владельцев iPhone откатиться на прошивку 1.0.2, воскресить их тыквоподобные «iBricks» и безопасно обновиться до версии 1.1.1.
С тех пор Apple не единожды «затягивала» петлю и латала дыры в своих операционных системах для того, чтобы пользователи не смогли пройти мимо магазина приложений и попользоваться чем-нибудь «на халяву». Отдельной паранойи заслуживает проект jailbreakme.com, адрес которого в определенный момент стали блокировать в wi-fi сетях и в магазинах Apple.
Нынешнее предложение Zerodium можно назвать самым щедрым в истории. В последний раз «серые» продавцы эксплоитов предлагали сопоставимую по размерам сумму ($ 500,000.00) аж в 2013 году и тоже за нераскрытую уязвимость в одной из версий iOS.
Награду для специалистов в области безопасности и хакеров, которые смогут найти 0day-уязвимость, объявил стартап Zerodium в этот понедельник.
Zerodium заплатит один миллион долларов США ($ 1,000,000.00) каждому специалисту или команде, которые предоставят нам эксклюзивную информацию об уязвимости на основе браузера или непривязанного джейлбрейка в последней операционной системе компании Apple — iOS 9.
Предложение действует до 31 октября 2015 года, 18:00 по времени восточного побережья. Программу могут закрыть досрочно, если сумма выплат превысит выделенный на нее бюджет в $ 3,000,000.00 США.
Технологические гиганты, такие как Google или Facebook, уже давно предлагают щедрые вознаграждения тем, кто сообщает о багах и уязвимостях в их продуктах. В этот список стоит записать и Microsoft, который не так давно проводил «Bug Bounty Program» по поиску уязвимостей в своем новом браузере EDGE (тогда еще Spartan).
В тоже время компания Apple не практикует проведение Bug Bounty-программ, временами лишь указывая пользователя или группу пользователей, нашедших «дыру», в своем официальном тексте патч-ноута к iOS, патч которой эти самые дыры закрывает. Например, так было сделано с iOS 7.1, где компания указывала группу хакеров evad3rs как пользователя, обнаружившего ошибку. Ироничность ситуации в том, что evad3rs занимаются созданием джейлбрейка iOS, в том числе и того самого iOS 7.0, позже пропатченного до iOS 7.1.
Но существует и обратная сторона рынка, на которой компании среднего размера, на подобие упомянутого Zerodium, скупают информацию об уязвимостях в ПО для того, чтобы потом перепродать его за бОльшие деньги на так называемом «сером рынке», например, спецслужбам. Согласно установленным Zeroduim требованиям, эксплоит должен позволять злоумышленнику удаленно устанавливать произвольное программное обеспечение на устройства под управлением iOS 9, то есть в том числе на новые iPhone 6s и iPad. Кроме того атака должна проходить через браузеры Safari, Chrome, через текстовое или мультимедийное сообщение, bluetooth и NFC. Эксплойт должен обходить защитные механизмы iOS 9, такие как secure bootchain, rootless, ASLR, sandboxing, code signing.
«Еху! кто-то все же определил, сколько стоит единорог», — пошутил специалист по информационной безопасности Педро Вилака (Pedro Vilaca), который также проводил исследования по безопасности «яблочных» операционных систем.
Компания Apple постоянно латает дыры в безопасности своих устройств, не позволяя пользователям выйти из «клетки» их экосистемы и устанавливать пиратский софт. За точку отсчета можно взять 2007 год, когда после выхода новой прошивки 1.1.1 для iPhone, устройства, которые были разблокированы их хозяевами, превратились, буквально, в кирпичи. Хакеры помогли тысячам владельцев iPhone откатиться на прошивку 1.0.2, воскресить их тыквоподобные «iBricks» и безопасно обновиться до версии 1.1.1.
С тех пор Apple не единожды «затягивала» петлю и латала дыры в своих операционных системах для того, чтобы пользователи не смогли пройти мимо магазина приложений и попользоваться чем-нибудь «на халяву». Отдельной паранойи заслуживает проект jailbreakme.com, адрес которого в определенный момент стали блокировать в wi-fi сетях и в магазинах Apple.
Нынешнее предложение Zerodium можно назвать самым щедрым в истории. В последний раз «серые» продавцы эксплоитов предлагали сопоставимую по размерам сумму ($ 500,000.00) аж в 2013 году и тоже за нераскрытую уязвимость в одной из версий iOS.
Комментарии (21)
Lev_Popov
22.09.2015 18:51-5Помнится компания Google устраивала подобную программу вознаграждений за найденные уязвимости.
Хороший, но рисковый пиар-ход компании. Уязвимость найти не сложно, тем более её можно и намеренно оставить.
berezuev
Не могу понять, почему компании сами не предлагают хакерам такие суммы? Это же в конечном итоге должно быть выгоднее, чем исправлять ошибку постфактум
stychos
Почему?
berezuev
Ну, от каждого такого косяка, как крупный эксплойт, идет хороший резонанс в сми, у клиентов портится отношение к компании, и они уходят к конкурентам. Потенциальные клиенты тоже лишний раз задумаются, стоит ли пользоваться продукцией этого производителя.
Как следствие — прямые убытки.
А когда число клиентов исчисляется сотнями тысяч людей — убытки становятся ощутимыми.
Поправьте, если я не прав
amarao
И сколько человек поменяло айфончик на андроид после сообщения «в IOS нашли уязвимость»?
A3a
Столько же сколько пользователей поменяло Android после анонса «MMS уязвимости»
amarao
То есть ноль.
images.google.com/q=«всем пофиг»
Goodkat
После Stagefrightgate они все вернулись обратно и даже друзей привели :)
amarao
Вы неправильно поняли смысл моего утверждения. Я говорю, что большинству пользователей это пофигу. От слова «совсем».
stychos
Мне кажется, пиар в СМИ наоборот — идёт им на пользу, да и от гонки джейлбрейков все в плюсе. Как писали ниже, не исключаю, что и вовсе оставляют специально некоторые сложные уязвимости — может, пока их будут искать, обнаружат кучку новых, непредусмотренных. Ну а нуль-днями никого не удивишь, их было и будет у всех много, компьютерами и прочими девайсами люди от этого пользоваться не перестали.
Halt
Есть шанс, что разработчики будут намеренно оставлять дыры, а «хакеры» их искать. Прибыль пополам.
berezuev
ну, ведь не так уж сложно найти того, кто оставил ту или иную дыру, надавать люлей и, быть может, еще и в суд подать (налицо явное нарушение NDA)
Delphinum
Найти — не сложно, доказать что дыра оставлена намеренно — практически невозможно.
Goodkat
Если на чёрном рынке появится эксплоит, а ответственному за соответствующий кусок кода разработчику вдруг упадёт 1 миллион баксов на счёт, то в ФБР могут что-нибудь заподозрить.
Delphinum
Если в штатах кому либо вдруг упадет 1 миллион баксов на счет, то за него возьмется налоговая служба, да так, что крупным IT компаниям и не снилось, при чем не важно, связан ли этот разработчик с соответствующим куском кода или не связан.
Не в сказках все делается аккуратнее.
Antelle
Цель любой компании — не выпуск абсолютно безопасного продукта, а максимизация бабла. Дыры находят во всем широко используемых продуктах, исправление их обычно стоит копейки, а сми заливаются маркетинговым буллшитом на тему «как мы оперативно фиксим баги», если уж даже инфа как-то распространилась. С платформы никто не слезает (если такие эксплойты, конечно, не находят в продукте регулярно), убытков меньше, чем 1 млн баксов.
J_o_k_e_R
Насчет выгоднее. Цитата из «Бойцовского клуба»:
Я к чему? Если не предлагают платить за уязвимости, значит считают это менее выгодным.