Apple завершила свою программу на Black Hat долгожданным анонсом: в следующем месяце компания запустит собственную инициативу Bug Bounty.

В программе Apple Security Bounty можно участвовать только по приглашению. Сначала доступ получит пара десятков исследователей, уточнил Иван Крштич (Ivan Krstic), глава по безопасности разработки и архитектуры. Максимальный размер премии составит $200 тыс. В рамках программы учитывается пять классов уязвимостей в iOS и iCloud.

Крштич подчеркнул, что программа на самом деле не такая закрытая, как может показаться, и любой исследователь, предоставивший отчет по уязвимости, принадлежащей к одному из допустимых классов, может получить приглашение постфактум.

Крштич объявил о начале Bug Bounty в заключении своей 50-минутной речи, чем вызвал бурные овации и множество вопросов во время сессии вопросов и ответов. Основная часть выступления была посвящена техническим подробностям функций безопасности iOS 10, среди которых усовершенствованная функция управления памяти в JIT-компиляторе WebKit, благодаря которой хакерам будет труднее эксплуатировать уязвимости повреждения памяти в JIT-компиляторе Safari.

Но аудитория, конечно, уделила больше внимания анонсу Bug Bounty. По словам представителей Apple, максимальный размер премии составит $200 тыс. — именно столько получит участник, предоставивший PoC-эксплойт к уязвимости в компонентах прошивки, отвечающих за безопасную загрузку. $100 тыс. можно получить за обнаружение бреши, открывающей возможность похищения конфиденциальной информации, защищенной при помощи модуля Secure Enclave Processor; $50 тыс. — за уязвимости удаленного исполнения кода с повышением привилегий на уровне ядра или за обнаружение метода получения неавторизованного доступа к данным, хранящимся в iCloud или на серверах Apple. Выплата $25 тыс. ждет того, кто сможет получить доступ к пользовательским данным при помощи «побега из сэндбокса».

«Исследователи вроде вас на протяжении всех этих лет поддерживали нас и помогали делать iOS безопаснее. По мере того как механизмы безопасности совершенствуются, наша команда осознает, что искать уязвимости становится все сложнее, — сказал Крштич. — Программа Bug Bounty от Apple создана, чтобы вознаграждать тех, кто найдет в продуктах Apple критические уязвимости, и мы считаем своей приоритетной задачей исправление этих проблем безопасности с вынесением публичной благодарности исследователям».

Apple не раскрывает информацию о том, кому повезло попасть в круг избранных.

«Мы с удовольствием наградим тех, кто потратил такое количество времени и усилий, чтобы найти баги», — отметил Крштич.

Рич Могул (Rich Mogull), аналитик и глава консалтинговой компании Securosis, доволен тем, что Apple  не изменяет себе.

«Именно так всегда и поступает Apple, — заявил Могул. — Для нее важнее не количество, а качество. Сначала компания осторожно начнет процесс согласно собственному графику, а масштабировать его они смогут и позже. Это не отличается от принципов, исповедуемых Apple при выпуске любого другого продукта или сервиса».

Могул также считает, что Apple по большому счету не нужна Bug Bounty, но безопасность продуктов повысится.

«Программа не станет популярной среди основной массы ИБ-сообщества, но те, кто заинтересован в трудных и интересных исследованиях, получат причитающееся вознаграждение», — подчеркнул Могул.

Категории: Кибероборона, Уязвимости, Хакеры