:

Szerző: Hlács Ferenc

2019. augusztus 9. 11:00

Valamennyi platformjára kiterjeszti bug bounty programját az Apple

Enged a biztonsági szakértők nyomásának a cég, és a talált bugokért kiosztott jutalmakat is alaposan felhizlalja, egymillió dollárnál húzva meg azok felső határát.

A Google után most az Apple is kiterjeszti a szoftvereiben felfedezett sebezhetőségekért jutalmakat osztó Bug Bounty programját, amely így már valamennyi szoftverplatformját magában foglalja. A cupertinói óriás aránylag későn, 2016-ban indította el első hasonló kezdeményezését, az ugyanakkor egészen mostanáig csak az iOS-es sérülékenységek bejelentését honorálta. Rövidesen azonban, mint a cég a Black Hat biztonsági konferencián bejelentette, az okostelefonos rendszer mellett a iPadOS-t, macOS-t, a watchOS-t és a tvOS-t, sőt az iCloudot is bevonja a programba, így már az utóbbiakban felfedezett biztonsági résekért is jár a jutalom.

A vállalat a talált hibákért kicsengetett fejpénzek maximumát is alaposan feltornázza. Eddig a cég a legsúlyosabb sebezhetőségekért legfeljebb 200 ezer dollárt fizetett ki, a bug bounty program kiterjesztésével azonban ez az összeg nem kevesebb mint ötszörösére, egymillió dollárra nő - ehhez persze a biztonsági szakértőknek rendkívül súlyos bugokat kell felfedezniük, hasonló összeget a cég a teljes körű, egyetlen felhasználói kattintást sem igénylő, távoli kernelkód-végrehajtásos támadásokért fizet ki. Persze a vállalat a kisebb bugok felfedezését is jutalmazza, a kijelzőfeloldást lehetővé tevő hibák megtalálását például akár 100 ezer, a felhasználói adatok kinyerését a zárt készülékekről akár 250 ezer dollárral honorálja - de a cég több más hibatípusért is hasonló összegeket fizet.

Ugyancsak említést érdemel, hogy a cég a kiadás előtt álló buildekben talált bugokért 50 százalékos bónuszt is hozzácsap a díjhoz. Ez kifejezetten hatásos lépés lehet a cégtől, hiszen a jóval nagyobb összeg arra motiválhatja a kutatókat, hogy már a megjelenés előtt elcsípjék a potenciálisan veszélyes szoftverhibákat, amelyek így később nem sodornak veszélybe felhasználókat.

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

Az Apple bőkezűségét az elmúlt években biztonsági szakértők komoly elégedetlensége előzte meg: idén februárban egy kutató jelszólopásra alkalmas macOS zero-day sebezhetőséget talált, ám annak részleteit nem volt hajlandó közölni az Apple-lel, amíg az nem kezdi el jutalmazni a biztonsági rések felhasználóit, az iparágban egyébként széles körben bevett gyakorlatnak megfelelően. A vállalat most úgy tűnik beadta a derekát, jó eséllyel a fenti macOS hiba felfedezője mellett számos más biztonsági szakértő nyomásának is engedve.

A gyártó ráadásul nem csak a plusz anyagi motivációval segítené a kutatók munkáját: a bug bounty programban részt vevő, a vállalat által megbízhatónak ítélt szakértőknek iOS Security Research Device kezdeményezést is indít, amelynek keretében egy root jogosultságokkal, ssh-val és részletes debug funkciókkal felszerelt iPhone-t is kapnak, amelynek birtokában az Apple reményei szerint könnyebben bukkanhatnak rá a platform gyengeségeire.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról