Наградете до $5 милиона за открита уязвимост от ИТ гигант

Не бъди безразличен, сподели статията с твоите приятели:

“Белите хакери” получават все по-големи възнаграждения при откриване на бъгове (снимка: CC0 Public Domain)

Големите ИТ корпорации, които оперират с десетки и дори стотици милиони потребители на глобално ниво, демонстрират стремежа си да стимулират откритията на уязвимости в своите продукти и услуги посредством щедри награди. Размерите на тези възнаграждения непрекъснато нарастват, особено когато става въпрос за критични бъгове.

През месец ноември Apple планира да актуализира програмата си Security Bounty, предлагайки на изследователите по сигурността едни от най-високите и конкурентоспособни възнаграждения в цялата индустрия.

Например, максималната награда за откритие на вериги от експлойти, които могат да постигнат ефекта на сложни атаки с шпионски софтуер, е увеличена от 1 милион долара до 2 милиона долара. Още по-впечатляващо е, че успяването в откритията на най-критичните уязвимости може да осигури на специалистите невероятната сума от 5 милиона долара.

Apple е готова да заплати тези огромни суми за открити вериги от експлойти, които не изискват взаимодействие с потребителя. Под „най-критични уязвимости“ компанията включва дефекти в бета версиите на софтуера и способността да се заобиколи режимът на блокиране в актуализираната архитектура за сигурност на браузъра Safari.

В допълнение, ИТ гигантът, базиран в Купертино, е увеличил наградата за откритие на вериги от експлойти, които разчитат на действията на потребителите – от 250 000 долара до 1 милион долара. Подобно ниво на награда се предлага и за идентифициране на атаки, които изискват физически достъп до устройството. Наградата може да достигне до 500 000 долара за успешно докладване на атаки с достъп до заключени устройства.

Изследователи, които успеят да демонстрират верига за изпълнение на код за уеб съдържание, излизаща извън “пясчника”, имат шанс да получат възнаграждение в размер на до 300 000 долара.

От момента на стартирането и разширяването на програмата през последните няколко години, компанията е отпуснала приблизително 35 милиона долара на над 800 изследователи по сигурността, потвърди Иван Кръстич, вицепрезидент на Apple по инженерство и архитектура на сигурността.

Въпреки че големите възнаграждения са сравнително редки, известни са случаи, при които компанията е плащала множество пъти по 500 000 долара на т.нар. „бели хакери“.

Apple заявява, че единствените документирани атаки на системно ниво спрямо iOS включват шпионски софтуер, който исторически се свързва с правителствени агенции и обикновено е насочен към конкретни индивиди.

Компанията е оптимистична, че нови функции като режим на блокиране и обезпечаване на целостта на паметта ще допринесат значително за подобряване на сигурността на нейните платформи.

Въпреки това, методите на киберпрестъпниците продължават да се развиват, и Apple се надява, че актуализираната програма за награди ще „стимулира авангардни изследвания на най-критичните вектори на атака, въпреки повишената сложност“.