Apple заплатит за «дыры» в своем ПО вдвое больше, чем Google
Apple запустила первую программу поиска уязвимостей, максимальный гонорар в которой составляет $200 тыс. Компания ограничила количество участников и задала им конкретное направление поиска «дыр» в ПО.Apple запустила первую bounty-программу
Apple начнет платить хакерам за поиск уязвимостей в своих продуктах. За обнаружение серьезного бага можно будет получить до $200 тыс, что в два раза больше, чем максимальная выплата в Google или Microsoft. Об этом сообщил глава отдела безопасности компании Айвен Крстик (Ivan Krstic) на ежегодной конференции по кибер-безопасности Black Hat.
Отбор хакеров и постановка задач
Apple не собирается платить тысячи долларов всем подряд. Для начального этапа bounty-программы компания отобрала более двадцати экспертов из числа тех, кому уже случалось обнаружить уязвимость в ее продуктах. Apple подтвердила, что раньше эти люди не получали вознаграждения за труды.
Apple ограничила не только количество участников, но и поле их деятельности. Поиск уязвимостей будет проводиться в пяти конкретных категориях, самая приоритетная из которых – встроенные программы защищенной загрузки. Цель – исключить возможность запуска неавторизованных программ во время включения устройства, на котором установлена iOS. За нахождение уязвимостей в загрузке и будут выплачиваться гонорары в $200 тыс.
Apple заявляет, что масштаб инициативы будет постепенно расти, и что начать с нескольких хакеров, перед которыми будут стоять конкретные задачи, ей посоветовали «другие компании», имеющие опыт реализации bounty-программ. Эта мера должна предотвратить поток сообщений о незначительных уязвимостях от множества людей. Apple отказалась уточнить, какая именно компания подала ей такую идею.
Конфликт с ФБР как возможная причина работы с хакерами
Запуск bounty-программы Apple связывают с ее конфликтом с американским правительством, который произошел в феврале 2016 г. ФБР попросила компанию открыть доступ к iPhone погибшего террориста, участвовавшего в массовом убийстве в Сан-Бернардино в декабре 2015 г. Apple отказалась сотрудничать с ФБР из этических соображений, а не потому, что не могла обеспечить доступ к данным на устройстве.
В результате Министерство юстиции США выдвинуло против компании иск. Через некоторое время ФБР взломала смартфон террориста без помощи Apple, и иск был отозван. Механизмы взлома не разглашались. Однако известно, что для взлома iPhone 5C, защищенного четырехзначным паролем, бюро наняло хакера со стороны. Сумма его гонорара, предположительно, составила порядка $1 млн. Есть вероятность, что этот инцидент и подтолкнул Apple к запуску bounty-программы с высокими ставками.
Сколько платят хакерам другие компании
В настоящий момент собственные bounty-программы есть у многих ИТ-компаний, в том числе у Facebook, Google, Microsoft и Yahoo. Microsoft, запустившая инициативу три года назад, уже выплатила хакерам в общей сложности $1,5 млн. Компания тоже предлагает высокие гонорары за поиск определенных типов уязвимостей. Две самых крупных выплаты равнялись $100 тыс. каждая.
Не все компании фокусируются на поиске конкретных багов. У Facebook, например, открытая bounty-программа, которая предлагает вознаграждение за широкий диапазон уязвимостей. За последние пять лет компания выплатила хакерам более $4 млн. В 2015 г. средний гонорар составлял $1780. В марте Facebook заплатил $10 тыс. десятилетнему мальчику из Финляндии, который нашел способ удалить комментарии пользователей из аккаунта в Instagram.
Google платит хакерам за поиск уязвимостей с ноября 2010 г. Самый высокий гонорар – $100 тыс. – компания предлагает тому, кто найдет способ взломать ее Chromebook по интернету. В июне 2015 г. Google запустила специальную bounty-программу для проверки Android, которая привлекла большое внимание хакеров. За год 82 участника успели найти в ОС более 250 багов и получить в общей сложности $550 000. Один из хакеров, известный как @heisecode, получил $75750 за 26 сообщений об уязвимостях. Самый высокий гонорар программы составляет $50 000, а получить его можно, найдя уязвимости в Android TrustZone или Verified Boot.