کنفرانس بلک‌هت: اپل بالاخره برنامه اهدای پاداش در ازای کشف آسیب‌پذیری را پذیرفت!

برنامه اهدای پاداش در برابر کشف آسیب‌پذیری شرکت اپل از ماه بعد و البته در ابتدا فقط برای تعداد محدود و منتخب از محققان راه می‌افتد.
روز پنج‌شنبه، اپل در کنفرانس بلک‌هت اعلام کرد به محققانی که آسیب‌پذیری‌هایی امنیتی بحرانی را در برخی از نرم‌افزارهای مشخصی از اپل، از جمله سامانه‌عامل اصلی تلفن همراه یعنی iOS، گزارش دهد، تا مبلغ ۲۰۰ هزار دلار پاداش خواهد داد.
ایوان کرستیک۱، رئیس مهندسی امنیت شرکت اپل در نشست امنیت سایبری در لاس‌وگاس که اکنون در نوزدهمین سال خود است، این اطلاعیه را در مورد برنامه اهدای جایزه امنیتی اپل اعلام نمود. او در مورد سه سازوکار امنیتی iOS یعنی HomeKit ،Auto Unlock و iCloud Keychain، فناوری‌هایی که اطلاعات حساس کاربر را کنترل می‌کنند صحبت کرد.
با اینکه اپل به علت امنیت قوی‌تر و همچنین فراوانی و نفوذ به سامانه‌های ویندوز در بازار، نسبت به سامانه‌هایی که از ویندوز استفاده می‌کنند، کمتر مورد هدف نفوذگران قرار گرفته است، اما این برنامه اهدای جایزه به ازای پیدا کردن حفره یک حرکت استراتژیک برای جلوگیری از فروش آسیب‌پذیری‌ها در بازارهای زیرزمینی، چه به رقیبان و چه به عاملان دولتی، است که به دنبال یک درب پشتی به درون کدهای برنامه‌نویسی اپل هستند.

از ماه بعد که این برنامه اهدای پاداش راه‌اندازی می‌شود، تنها ۲۴ محقق امنیتی به این برنامه دعوت خواهند شد. این محققان پیش‌ازاین با اپل کار کرده‌اند و گفته می‌شود که هیچ جایزه مالی برای کشف آسیب‌پذیری‌ها دریافت نکرده‌اند. اپل گفت که افراد دیگری خارج از این گروه که حفره‌های ارزشمندی پیدا کنند نیز مشمول این برنامه اهدای پاداش خواهند شد.

این شرکت گفت که تا مبلغ ۲۰۰ هزار دلار برای حفره‌هایی پرداخت خواهد کرد که در اجزای سخت‌افزاری ایمن وجود داشته باشند، و همچنین مبلغ ۱۰۰ هزار دلار برای بهره‌برداری‌هایی که می‌توانند اطلاعات محرمانه را از پردازشگر Enclave ایمن استخراج کنند، پردازنده امنیتی که کارهای رمزنگاری را در آیفون ۵s و نسخه‌های بعدی انجام می‌دهد، ۵۰۰۰۰ دلار برای آسیب‌پذیری‌هایی که می‌توانند منجر به اجرای کد از راه دور با امتیازهای هسته شود، مبلغ ۵۰۰۰۰ دلار برای راه‌های دسترسی به اطلاعات حساب iCloud روی کارگزارهای اپل بدون احراز هویت، و مبلغ ۲۵۰۰۰ دلار برای حفره و اشکالاتی که باعث دسترسی خرابکاران از درون یک پردازش جعبه شنی به اطلاعات کاربری خارج از آن جعبه شنی می‌شود.

شرکت‌های فناوری بزرگ دیگر مثل مایکروسافت، فیسبوک و گوگل مدت‌زمان طولانی‌تری است که این برنامه را راه‌اندازی کرده‌اند. گوگل سال گذشته بیش از ۲ میلیون دلار به نفوذگران کلاه‌سفید برای کشف حفره‌های اندرویدی‌شان پاداش داد. فیسبوک نیز بیش از ۴ میلیون دلار طی پنج سال گذشته پاداش داده است. تا اطلاعیه دیروز، اپل تنها به تیم‌های امنیتی داخلی شرکت خودش اعتماد داشت و به آن‌ها تکیه داشت و کار نفوذگران کلاه‌سفیدی را که با کشف حفره‌ها و دریافت جایزه سعی در کمک به اپل داشتند نادیده می‌گرفت.
محققانی که به این برنامه دعوت شده‌اند باید در مورد آخرین نسخه‌های iOS و آخرین سخت‌افزار اپل اثبات مفهومی ارائه دهند. اگر محقق بخواهد جایزه‌اش را به موسسه‌ای خیریه بدهد، اپل نیز او را همراهی خواهد کرد.
کارشناسان می‌گویند ممکن است به کسانی که آسیب‌پذیری‌های بحرانی استثنایی دیگری را کشف کنند نیز پاداش داده شود. این پرداخت‌ها به چند عامل بستگی دارد ازجمله تازگی حفره کشف‌شده، احتمال افشای آن و میزان دخالت کاربر.
ریچ موگل تحلیل‌گر و مدیرعامل Securosis، در وبگاهی می‌گوید: «این شروع خوبی است. اپل به چنین برنامه‌ای نیاز ندارد اما مطمئناً از آن سود می‌برد. این برنامه مردم یا کسانی را که انگیزه‌ای درونی دارند تحریک نمی‌کند، اما به محققانی که به‌سختی کار می‌کنند تا اشکالی را کشف کنند و با مهندسی برخی از آسیب‌پذیری‌های خطرناک را کشف کنند، جایزه می‌دهد».

۱. Ivan Krstic

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]