Хакер #305. Многошаговые SQL-инъекции
На конференции Black Hat представители компании Apple сделали важное объявление: с 1 сентября 2016 года Apple запускает собственную программу bug bounty. Компания обещает выплачивать исследователям награды в размере до $200 000, но пока только избранным.
В последнее время Apple оставалась одной из немногих компаний-гигантов, у кого до сих пор нет собственной программы вознаграждения за уязвимости. Такие инициативы достаточно давно есть у Micorosoft, Facebook, Twitter, Yahoo, Google и так далее.
Выступая на конференции Black Hat, глава подразделения безопасности Apple Иван Кристич (Ivan Krstic) сделал неожиданный анонс и объявил, что с 1 сентября у Apple заработает собственная программа bug bounty. К сожалению, пока принять участие и внести свою лепту смогут отнюдь не все желающие. Первого сентября стартует лишь первая фаза программы, к которой будут допущены только те исследователи и эксперты, с которыми Apple уже сотрудничала ранее. Это лишь несколько десятков специалистов.
Также Кристич сообщил, что эксперты смогут стать участниками bug bounty, если получат соответственное приглашение. То есть пока программа будет работать для закрытого (и узкого) круга лиц и по инвайтам. Тем не менее, Кристич не исключает того, что в будущем программу откроют для большего числа желающих. Пока в Apple опасаются, что если открыть двери для всех, компания попросту утонет в сотнях отчетов, и риск пропустить что-нибудь действительно значимое будет слишком велик.
Пока неизвестно, запустит Apple собственную платформу, как поступили Facebook, Google и Microsoft, или воспользуется сторонним решением, к примеру, HackerOne или Bugcrowd. Зато Кристич сообщил, каков будет размер вознаграждений: исследователям готовы выплатить от 20 до 200 тысяч долларов, в зависимости от важности обнаруженной проблемы. Так, получение неавторизованного доступа к аккаунту iCloud оценивается в $50 000, а на извлечении данных, защищенных Secure Enclave Processor, можно заработать $100 000. Также Кристич заявил, что если исследователь решит пожертвовать деньги на благотворительность, то компания поддержит его и продублирует его пожертвование из собственного кармана.
Замечу, что на этой неделе о запуске собственной программы вознаграждения за уязвимости также объявила «Лаборатория Касперского». Первый этап программы стартовал 2 августа 2016 года и продлится шесть месяцев. По окончании первого этапа компания оценит результаты и решит, какие дополнительные продукты будут включены в следующую фазу программы и какие выплаты будут предусмотрены за дальнейшие исследования. Первая фаза включает в себя проверку двух продуктов для домашних и корпоративных пользователей: Kaspersky Internet Security и Kaspersky Endpoint Security для бизнеса.
Кроме того, на этой неделе стало известно, что свою bug bounty программу расширила компания Microsoft. Теперь в список продуктов для поиска багов входят и превью версии браузера Edge. За RCE-уязвимости в Edge preview компания готова заплатить от $500 до $1500.