Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Apple zapłaci nawet milion za informację o dziurach

Recommended Posts

Za znalezienie luki w produktach Apple'a można będzie otrzymać do miliona dolarów. Ivan Krstic, odpowiedzialny w Apple'u za kwestie bezpieczeństwa, poinformował podczas dorocznej konferencji Black Hat, że firma zwiększa z 200 000 do 1 000 000 limit kwoty, jaką płaci za znalezione dziury. Przedsiębiorstwo chce w ten sposób zachęcić odkrywców luk, by informowali je o ich istnieniu, zamiast by sprzedawali je na czarnym rynku.

Co więcej, program nagród nie będzie ograniczony tylko do iPhone'a ale będzie dotyczył również innych produktów, jak iPad, Mac, Apple Watch czy Apple TV.

Dotychczas firma płaciła do 200 000 USD za informacje o dziurach, ale krytykowano ją, że to zbyt mała kwota, więc istnieje pokusa sprzedaży informacji na czarnym rynku, co negatywnie odbiłoby się na bezpieczeństwie użytkowników firmowych produktów.
Oczywiście nie dostaniemy miliona dolarów za każdą informację o luce. Najwyższą kwotę przewidziano tylko dla znalazców najpoważniejszych najbardziej groźnych dziur. Ponadto do 500 000 dolarów zwiększono kwotę za informacje o dziurach pozwalających na nieuprawniony dostęp do danych użytkownika.


« powrót do artykułu

Share this post


Link to post
Share on other sites

Gdyby był b ardziej popularny, to pewnie ilość znalezionych dziur zwiększyła by się. Tak samo jak w Windows. Lepiej szukać luk tam, gdzie istnieje ryzyko ataku na dużą ilość urządzeń. Teraz przyjęło się, że IOS jest nie do złamania. Podobnie jest z każdym niszowym systemem. Linuksa też ciężko złamać, ale czym bardziej znana dystrybucja, tym więcej osób używa i jest sens włamywania się i szukania luk. Pewnie z IOS byłoby tak samo.

Share this post


Link to post
Share on other sites

To prawda, że popularność ma znaczenie, ale IOS ma prężną branżę zeroday, tylko się o nich tak często nie słyszy. Są sprzedawane brokerom i korzystają z nich 3-literowe agencje. Linuks nie jest tak bezpieczny, jak się może wydawać. Sam korzystam od ponad 15 lat i kiedyś - bardzo dawno - tak myślałem, ale niektóre opublikowane krytyczne luki dają do myślenia ;-)

Przypomniał mi się ten artykuł z listopada 2017 o 40 podatnościach w podsystemie USB ;-)
https://www.theregister.co.uk/2017/11/07/linux_usb_security_bugs/

Quote

Monday, Google security researcher Andrey Konovalov disclosed 14 Linux USB flaws found using syzkaller, a kernel fuzzing tool developed by another Google software engineer, Dmitry Vyukov.

Quote

That's just the tip of the iceberg. In an email to The Register, Konovalov said he asked for CVEs for another seven vulnerabilities on Tuesday, and noted there are something like 40 that have not been fixed or triaged.

 

Edited by cyjanobakteria

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Cyberprzestępcy wykorzystują nowo odkrytą dziurę zero-day w Internet Explorerze. Luka pozwala napastnikowi na korzystanie z systemu na prawach aktualnie zalogowanego użytkownika. Błąd występuje w IE 9, 10 i 11 w wersjach na Windows 7, 8.1, RT 8.1, 10, Server 2008, 2008 R2, Server 2012, 2016 i 2019.
      US CERT (Computer Emergency Response Team) informuje, że atak może zostać przeprowadzony za pomocą odpowiednio spreparowanej witryny lub dokumentu HTML renderowanego przez przeglądarkę. Microsoft donosi, że dotychczas zanotowano ograniczoną liczbę ataków z wykorzystaniem tej dziury.
      Dziura pozwalająca na zdalne wykonanie kodu wykorzystuje błąd w przetwarzaniu obkektów przez silnik Internet Explorera. W wyniku błędu dochodzi do awarii podsystemu pamięci tak, że napastnik może wykonać dowolny kod na prawach zalogowanego użytkownika. [...] Jeśli zalogowany jest administrator, napastnik może przejąć kontrolę nad systemem. Ma wówczas możliwość instalowania programów, przeglądania, zmiany i usuwania danych czy też stworzenia nowego konta z pełnymi uprawnieniami użytkownika, czytamy na stronach Microsoftu.
      Koncern opublikował też porady dotyczące obejścia problemu i tymczasowego zabezpieczenia się przed atakiem. Proponuje ograniczenie dostępu do JScript.dll. Jednak, jako że technika ta wymaga uprawnień administracyjnych, korzystania z linii komend, a ograniczenia należy wyłączyć przed zainstalowaniem łatki, działania takie zalecane są tylko wówczas, jeśli jesteśmy narażeni na atak.
      Odpowiednia poprawka zostanie opublikowana w drugą środę przyszłego miesiąca, w ramach comiesięcznego zestawu łat.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      W wielu modelach modemów kablowych wykorzystywanych przez dostawców internetu (ISP) znajduje się krytyczny błąd, który daje napastnikom pełny dostęp do zaatakowanego urządzenia. O istnieniu dziury CVE-2019-19494 poinformowali badacze z firmy Lyrebirds. Występuje ona m.in. w urządzeniach firm takich jak Arris, COMPAL, Netgear, Sagemcom czy Technicolor.
      Błąd został powielony z referencyjnego firmware'u dostarczonego przez firmę Broadcom. Pozwala on na wywołanie błędu przepełnienia bufora, dzięki czemu napastnik może wykonać dowolny kod na poziomie jądra. Modemy kablowe są podatne na ataki typu DNS rebind, do którego może dojść po przepełnianiu rejestrów i uruchomieniu złośliwych funkcji. Atak jest możliwy dzięki brakowi ochrony przeciwko DNS rebind, domyślnym danym uwierzytelniającym oraz błędowi programistycznemu w analizatorze widma, informuje Lyrebirds.
      Specjaliści przeprowadzili też pokazowy atak. Daje on napastnikowi pełny zdalny dostęp do całego modemu. Przestępca może monitorować cały ruch przechodzący przez modem pozostając niewidocznym zarówno dla użytkownika, jak i dostawcy internetu.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Amerykańska Narodowa Agencja Bezpieczeństwa (NSA) odkryła w Windows 10 poważny błąd, który pozwala napastnikowi na przechwycenie komunikacji. Co zaskakujące, zamiast wykorzystać odkrycie do własnych celów, Agencja poinformowała o nim Microsoft. Koncern z Redmond właśnie wydał łatę, a w komunikacie wskazał NSA jako źródło informacji o dziurze.
      Amit Yoran, dyrektor firmy Tenable, mówi, że to wyjątkowo rzadki, jeśli nie bezprecedensowy przypadek, by firma dowiadywała się o błędach w swoim oprogramowaniu od amerykańskich agend rządowych. Yoran wie, co mówi, gdyż był twórcą i dyrektorem zespołu szybkiego reagowania na cyberzagrożenia w amerykańskim Departamencie Bezpieczeństwa Wewnętrznego.
      NSA wydała oświadczenie, w którym informuje, że konsekwencje niezałatania luki są bardzo poważne i dalekosiężne. Microsoft wyjaśnia, że napastnik może wykorzystać dziurę do podrobienia certyfikatu cyfrowego. Cyberprzestępca może dzięki temu przeprowadzić atak typu „man-in-the-middle” i odszyfrować poufne informacje.
      NSA i Microsoft nie chciały zdradzić, kiedy koncern został powiadomiony o błędzie. Neal Ziring, dyrektor ds. technicznych w wydziale ds. cyberbezpieczeństwa NSA zapewnił jedynie, że informacja taka została przekazana szybko.
      Od kilku lat w USA obowiązuje opracowana przez Biały Dom procedura „Vulnerability Equities Process”. W jej ramach agendy rządowe, które odkryły dziury w oprogramowaniu, mają obowiązek rozważyć korzyści i zagrożenia wynikające z ich nieujawnienia producentom software'u i na tej podstawie mają podjąć decyzję o ewentualnym przekazaniu takich informacji.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Społeczność z południowej Tajlandii wyznaczyła nagrodę za schwytanie osoby bądź osób, które ukradły z plaży jaja krytycznie zagrożonego wyginięciem żółwia skórzastego (zachodniej populacji podgatunku Dermochelys coriacea schlegelii).
      Jaja skradziono w niedzielę przed świtem z plaży w prowincji Phang Nga - poinformował Pratom Rassamee, szef tutejszego Biura Zasobów Morskich i Przybrzeżnych.
      Thon Thamrongnawasawat, jeden z czołowych biologów morskich z Tajlandii, szacuje, że zginęło ok. 50 cennych jaj.
      Za schwytanie złodziei mieszkańcy ustanowili nagrodę w wysokości 50 tys. batów (1600 dol.). Drugie tyle dołożyły władze.
      Jaja są chronione prawnie. Za ich kradzież czy przywłaszczenie grozi kara więzienia od 3 do 15 lat oraz grzywna w wysokości od 300 tys. do 1,5 mln batów (9.950-49.760 dol.).
      Policja ściga złodziei. To zwierzę kochane przez okolicznych mieszkańców - podkreśla Rassamee i dodaje, że nagrania z kamer zlokalizowanych przy drodze mogą zapewnić pewne wskazówki co do tożsamości przestępców.
      Gniazd D.c. schlegelii nie było w Tajlandii od pięciu lat, aż do stycznia 2019 r. Żółwiom tym zagrażają drapieżniki, kłusownictwo jaj czy zmieniające się warunki środowiskowe.
      To dlatego ludzie są tak zasmuceni. Mam nadzieję, że policja schwyta winnych i sprawiedliwości stanie się zadość. Złodzieje muszą wiedzieć, że te jaja to nie pokarm i że znaczą one wiele zarówno dla Tajlandii, jak i dla całego świata - opowiada Rassamee.
      Obszar wokół plaży Thai Muang, gdzie odkryto gniazdo, był przez długi czas znany jako teren składania jaj.
      Regionalne Biuro Parku Narodowego wyznaczyło nagrodę w wysokości do 20 tys. batów dla osoby, która znajdzie nowe gniazdo na plażach prowincji Phang Nga i Phuket.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Posiadanie szczeniaka wiąże się nie tylko z przyjemnościami, ale i z pewnymi uciążliwościami. Młode psy często gryzą meble, są nieposłuszne, mogą być agresywne. Dlatego też wielu właścicieli bardzo szybko rozpoczyna ich tresurę. Autorzy najnowszych badań ostrzegają jednak, że nawet dość łagodne karanie psa – krzyk czy szarpanie smyczą – podczas takiego treningu może spowodować, że wyrośnie on na bardziej pesymistycznie nastawione zwierzę, niż gdy tresura oparta jest na nagrodach.
      Tresura oparta na karach może być skuteczna w krótkim terminie, jednak takie metody mają negatywne konsekwencje na przyszłość. Tak szkolone psy żyją w ciągłym stresie, mówi biolog ewolucyjny Marc Bekoff z University of Colorado w Boulder, który nie był zaangażowany w najnowsze badania.
      Już z wcześniejszych badań wiemy, że tresura oparta na karach i tresura oparta na nagrodach zdają egzamin, jednak tresura oparta o kary może nieść negatywne konsekwencje. Jednak badania takie były przeprowadzane na psach policyjnych i laboratoryjnych, a nie na domowych pupilach. Ponadto metodą karania było założenie obroży rażącej psa prądem. Obroże takie są zakazane w wielu krajach.
      Ana Catarina Vieira de Castro z Uniwersytetu w Porto postanowiła sprawdzić, jak na tresurę opartą o kary reagują psy domowe. W tym celu wzięła pod lupę 42 psy ze szkół tresury, w których stosowano nagrody oraz 50 psów, które przechodziły tresurę opartą o kary. W pierwszym przypadku psy zachęcano do odpowiedniego zachowania dając im przysmaki czy pozwalając się bawić, w drugim zaś przypadku zwierzęta karano krzykiem, szarpaniem smyczy, a uczenie np. siadania polegało na naciskaniu bioder.
      Badacze nagrywali zachowanie psów w czasie tresury i testowali ich ślinę przed i po sesji tresury pod kątem występowania w niej hormonu stresu, kortyzolu. Psy przechodzące tresurę polegającą na karaniu wykazywały więcej zachowań typowych dla stresu, takich jak oblizywanie pyska, ziewanie, odnotowano też u nich wyższy poziom kortyzolu po powrocie do domu. Psy, których trening polegał na nagrodach, nie wykazywały ani zmian zachowania, ani zmian poziomu kortyzolu.
      Uczeni postanowili sprawdzić, czy skutki tresury utrzymywały się dłużej. Sprawdzili więc, jak 79 z tych psów reagowało na nagrodę w postaci przysmaku. Najpierw nauczyli zwierzęta, by kojarzyły jedną stronę pokoju z przysmakiem. W tej części pokoju znajdowała się bowiem miska z nagrodą. W drugiej części miska była pusta.
      Po takim treningu umieszczali pustą miskę w różnych pozycjach pomiędzy obiema częściami i obserwowali, w jaki sposób psy do niej podchodziły. Psy nastawione optymistycznie szybko podbiegały do miski, wykazując przy tym radośc. Psi pesymiści podchodzili znacznie wolniej. Takie zachowanie wskazuje na występowanie u psów lęku separacyjnego i innych zaburzeń osobowości. Zaobserwowano, że im więcej treningu opartego na karze, tym silniejsze objawy takich zaburzeń.
      Autorzy badań podkreślają, że nie sprawdzali, która z metod treningowych przynosi lepsze wyniki. Jednak ich eksperyment wyraźnie pokazuje, że właściciele psów powinni unikać tresury awersyjnej, polegającej na karaniu zwierzęcia. Jeśli zdecydujemy się, by naszego psa tresował ktoś obcy, powinniśmy zatem najpierw wypytać go o stosowane metody i porozmawiać z osobami, których psy miały już do czynienia z tym treserem.

      « powrót do artykułu
×
×
  • Create New...