Apple didina saugumo išmokas iki milijonų dolerių: premijos

Apple didina saugumo išmokas iki milijonų dolerių: premijos

Viltė Petrauskaitė Viltė Petrauskaitė . Komentarai

8 Minutės

Apple smarkiai padidino akcijas saugumo tyrėjams: nuo šio lapkričio įmonė plečia savo Security Bounty programą ir panaikina ankstesnius atlygio ribojimus, skatindama atradimus, kurie apsaugo vartotojus nuo pažangių šnipinėjimo programų.

Didelės išmokos grandinėms, elgiančioms kaip šnipinėjimo programos

Atnaujinimas nukreiptas į sudėtingas, jungtines pažeidžiamumo grandines, kurios gali veikti kaip pažangios šnipinėjimo programos be jokio vartotojo įsikišimo. Apple teigia, kad šios didelės rizikos grandinės — leidžiančios tyliai ir nuotoliniu būdu pažeisti sistemą — dabar bus tinkamos gauti iki 2 milijonų JAV dolerių dydžio premijas. Išskirtiniais atvejais, pavyzdžiui, kai klaidos randamos beta leidimuose arba sėkmingai apeinamas Lockdown režimas, išmokos gali viršyti 5 milijonus.

Keičiami atlygio lygiai ir kriterijai

  • Maksimalus atlygis už be vartotojo sąveikos veikiančias, šnipinėjimu primenančias pažeidžiamumo grandines: iki 2 000 000 JAV dolerių.
  • Vieno spustelėjimo atakų (one-click) atlygis padidintas nuo 250 000 iki 1 000 000 JAV dolerių.
  • Atlygis už fizinių įrenginių pažeidžiamumus padvigubintas.
  • Sudaromas Safari aplinkos (sandbox) išsisukimas kartu su nuotoliniu kodo vykdymu: iki 300 000 JAV dolerių.

Šie pakeitimai nurodo, kad Apple siekia nukreipti didesnius išteklius ir finansinę paskatą į tas pažeidžiamumas, kurie leidžia nuotoliniu būdu ir nepastebimai kompromituoti iPhone, iPad ar Mac įrenginius. Tokios politikos tikslas — sumažinti riziką, kuri kyla, kai pažeidimai patenka į pilkosios ar juodosios rinkos ginkluotų šnipinėjimo įrankių arsenalus.

Skatinimai nukreipti į didžiausios rizikos grėsmes

Ivanas Krstić, Apple saugumo vadovas, pažymėjo, kad iki šiol įmonė išmokėjo daugiau nei 35 milijonus JAV dolerių daugiau nei 800 saugumo tyrėjų. Nors milijoninės išmokos vis dar yra retenybė, Apple istorija rodo, kad tai nėra naujovė — anksčiau kompanija mokėjo reikšmingas sumas už aukšto poveikio pažeidžiamumus, kai jų žala galėjo būti didelė.

Apple aiškina šį žingsnį kaip tiesioginę reakciją į specifinį modelį: pastaraisiais metais realūs sistemos lygmens pažeidimai dažniausiai atsirado dėl samdinių šnipinėjimo programų tiekėjų arba valstybės remiamų veikėjų. Padidindama atlygius, Apple tikisi nukreipti aukščiausio lygio tyrėjus į kritinių spragų paiešką prieš jas pavertus ginklais.

Techniniu požiūriu, daugiausia dėmesio bus skiriama branduolio (kernel) apsaugoms, atskyrimo (sandbox) spragoms bei mechanizmams kaip Memory Integrity Enforcement, kurie apsaugo nuo žemo lygio pamainų ir leidžia sumažinti nuotolinių atakų poveikį. Tokie mechanizmai, kartu su Lockdown režimu, sudaro svarbią gynybos liniją prieš pažangias šnipinėjimo kampanijas.

Ką tai reiškia vartotojams ir tyrėjams

Aukštesnės premijos pritraukia daugiau akinių į jautriausias Apple platformų vietas — branduolio apsaugas, sandbox išsisukimus, Lockdown režimo apeinimus ir Memory Integrity Enforcement spragas. Vartotojams tai reiškia tvirtesnę ir proaktyviai taisomą gynybą; tyrėjams — ženklą, kad Apple pasirengusi mokėti aukščiausią kainą už didelės įtakos atradimus.

Toks paskatinimas gali pakeisti sprendimus tarp darbo gynybai ir spragų pardavimo pilkai ar juodai rinkai: jei saugos tyrėjai matys didesnę finansinę vertę bei reputacinę naudą dirbdami atsakingai, jie gali pasirinkti pranešti apie pažeidžiamumus tiekiantime, o ne parduoti juos tarpininkams ar priešiškoms organizacijoms.

Be to, didesnės išmokos taip pat gali padidinti organizuotų tyrimų kampanijas — grandinių analizes, simbolinį fuzzing’ą, atvirkštinį inžineriją (reverse engineering) ir koreliaciją tarp atvejų, leidžiančią saugumo komandoms greičiau identifikuoti ir neutralizuoti realias grėsmes. Tokios strategijos tiesiogiai siejasi su kibernetinio saugumo gerinimu visame ekosistemoje.

Kokius techninius kriterijus verta žinoti

  • Terminalinės (kernel) eskalacijos, leidžiančios pasiekti sisteminį lygį be vartotojo interakcijos, yra laikomos itin pavojingomis ir dabar už jas numatytos aukščiausios išmokos.
  • Atakos, kurios reikalauja vieno spustelėjimo (user interaction minimalus) ir leidžia nuotolinį kodo vykdymą ar informacijų nutekėjimą, priskiriamos aukštesnėms kategorijoms.
  • Fizinės prieigos prie įrenginio atakos — pavyzdžiui, tie, kuriuos reikia pakeisti įrenginio aparatinę dalį ar naudoti specializuotą paskirstymą — taip pat vertinamos pagal savo poveikį ir tikimybę, todėl atlygis už jas padidintas.
  • Kompoziciniai atvejai, pavyzdžiui, Safari sandbox išsisukimas kartu su nuotoliniu kodo vykdymu, gauna atskirus vertinimus ir gali būti apdovanoti iki 300 000 JAV dolerių.

Svarbu pabrėžti, kad atlygių sistema vis dar remiasi įrodymu pagrįstu procesu: tyrėjai turi pateikti aiškų, atkuriamą atakos įrodymą ir bendradarbiauti su Apple saugumo komanda, kad būtų galima efektyviai uždaryti pažeidžiamumą ir patikrinti pataisymų veiksmingumą.

Kaip ši politika pakeičia saugumo tyrimų ekonomiką

Tradicinė saugumo tyrimų ekonomika yra įvairi: ji apima akademinius tyrimus, bug bounty dalyvavimą, samdinių spragų pirkimą ir pilkąją ar juodąją rinką. Apple sprendimas didinti premijas padidina rizikos ir atlygio santykį ten, kur spragos gali būti panaudotos pažangioms šnipinėjimo kampanijoms.

Tai gali privilioti ne tik individualius tyrėjus, bet ir aukštos kvalifikacijos saugumo komandas bei tyrimų laboratorijas iš privataus sektoriaus. Tokios komandos dažnai turi įgūdžių rinkinį, reikalingą aptikti sudėtingas grandines — keliais etapais vykstančias klaidas, kurios vienu metu nukreiptos į kelis komponentus: tinklo sluoksnį, naršyklę, branduolį ir prieigos kontrolės mechanizmus.

Be to, didesnės išmokos gali paskatinti didesnį viešųjų ir privačių priemonių bei platformų suderinamumą: bendradarbiavimo modeliai, koordinuotos atskleidimo procedūros (coordinated vulnerability disclosure) ir saugumo tyrimų partnerystės galėtų tapti labiau paplitusios ir struktūrizuotos, sumažinant tris dalykus — laiką nuo atradimo iki pataisos, pažeidžiamumo eskalavimą ir operacines spragas, kurias gali išnaudoti kenkėjiškos grupuotės.

Ką stebėti toliau

  • Ar daugiau tyrėjų persiorientuos nuo spragų pardavimo pilkai/juodai rinkai į koordinuotą atskleidimą ir bendradarbiavimą su gamintojais.
  • Kaip Apple vertins ir prioritetizuos ataskaitas, kurios atitinka naujojo aukščiausio lygio atlygio kriterijus.
  • Ar po rimtų atradimų bus papildomų apsaugų atnaujinimų, pavyzdžiui, Lockdown režimo, Memory Integrity Enforcement ar papildomų kernel apsaugų srityse.

Taip pat verta stebėti, kaip ši politika paveiks reguliavimo ir teisėsaugos požiūrį. Kai kurios vyriausybės ir teisėsaugos institucijos jau domisi, kaip komercinės spragos gali būti panaudotos valstybinio masto programinei įrangai. Didesnės atlygio sumos gali sumažinti tokių spragų patekimą į netinkamas rankas, bet taip pat gali sukelti diskusijas apie atskleidimo laiko ir nacionalinio saugumo aspektus.

Techninės detalės ir svarstymai

Iš techninės perspektyvos, aptikus sudėtingą grandinę, tyrėjas dažnai turi pateikti detalų eksploitacijos įrodymą (proof-of-concept), kuris gali būti reprodukuojamas pagal Apple reikalavimus. Tai apima ne tik vieną klaidos tašką, bet ir visą grandinę — paaiškinimą, kaip atskiros spragos sujungia viena kitą, kad būtų pasiektas sistemos lygmens kompromisas.

Tyrėjams taip pat svarbu atsižvelgti į saugumo procesus: informacijos klasifikavimas, atsakomųjų priemonių koordinavimas, pataisų testavimas ir išleidimo tvarkaraščiai. Apple ir kitos platformų įmonės dažnai taiko atsakingo atskleidimo laikotarpius, kurie suteikia laiko paruošti ištaisymus ir sušvelninti riziką prieš plačiai paskelbiant informaciją.

Techninių detalių srityje verta paminėti keletą terminų, kuriuos dažnai naudoja saugumo tyrėjai ir inžinieriai:

  • Kernel privilege escalation — branduolio privilegijų išplėtimas, leidžiantis programai arba atakai veikti su aukštesnėmis teisėmis nei numatyta.
  • Sandbox escape — sugebėjimas išeiti iš izoliuotos vykdymo aplinkos (sandbox) ir pasiekti kitus sistemos išteklius.
  • Remote code execution (RCE) — galimybė nuotoliniu būdu paleisti kodą aukos įrenginyje.
  • Memory Integrity Enforcement — mechanizmai, kurie apsaugo atmintį ir mažina žemo lygio manipuliacijų riziką.

Supratimas ir aiškus dokumentavimas tų komponentų padidina pranešimo kokybę ir Apple sugebėjimą greitai patvirtinti problemą bei parengti saugius pataisymus. Be to, gerai parengta ataskaita dažnai spartina atlygio patvirtinimo procesą.

Atsakomybė ir etika

Padidinus atlygius, taip pat auga ir pareiga: tiek tyrėjams, tiek įmonėms reikia užtikrinti, kad atradimai būtų tvarkomi atsakingai. Tyrėjai turi laikytis koordinuoto atskleidimo praktikų, vengti eksportuoti pažeidžiamumo duomenis neautorizuotoms trečiosioms šalims ir bendradarbiauti su gamintoju taisymo etape.

Apple, savo ruožtu, turi aiškiai nurodyti atlygio taisykles, vertinimo kriterijus ir komunikacijos kanalus, kad būtų išvengta nesusipratimų. Skaidrumas apie tai, kokie atradimai yra vertinami kaip tinkami aukščiausio lygio premijoms, padės formuoti ilgalaikes strategijas tarp įmonių ir saugumo tyrėjų bendruomenės.

Galiausiai, etinis požiūris į pažeidžiamumų tvarkymą yra pagrindinė rizikos valdymo dalis: greitas reagavimas, pataisų išleidimas ir vartotojų informavimas yra kertiniai dalykai, kurie sumažina žalą galutiniams naudotojams.

Su šiais pakeitimais Apple stato ant lažybų, kad didesni prizai reiškia geresnę apsaugą milijonams vartotojų, priklausančių nuo iPhone, Mac ir iPad, ir kad atsakingas atskleidimas yra geriausia gynyba nuo sudėtingų pavojų bei priežiūros programų.

Šaltinis: smarti

Sveiki! Esu Viltė, kasdien sekanti technologijų naujienas iš viso pasaulio. Mano darbas – pateikti jums svarbiausius ir įdomiausius IT pasaulio įvykius aiškiai ir glaustai.

Palikite komentarą

Komentarai

Susijusios straipsniai