Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Apple zapłaci nawet milion za informację o dziurach

Recommended Posts

Za znalezienie luki w produktach Apple'a można będzie otrzymać do miliona dolarów. Ivan Krstic, odpowiedzialny w Apple'u za kwestie bezpieczeństwa, poinformował podczas dorocznej konferencji Black Hat, że firma zwiększa z 200 000 do 1 000 000 limit kwoty, jaką płaci za znalezione dziury. Przedsiębiorstwo chce w ten sposób zachęcić odkrywców luk, by informowali je o ich istnieniu, zamiast by sprzedawali je na czarnym rynku.

Co więcej, program nagród nie będzie ograniczony tylko do iPhone'a ale będzie dotyczył również innych produktów, jak iPad, Mac, Apple Watch czy Apple TV.

Dotychczas firma płaciła do 200 000 USD za informacje o dziurach, ale krytykowano ją, że to zbyt mała kwota, więc istnieje pokusa sprzedaży informacji na czarnym rynku, co negatywnie odbiłoby się na bezpieczeństwie użytkowników firmowych produktów.
Oczywiście nie dostaniemy miliona dolarów za każdą informację o luce. Najwyższą kwotę przewidziano tylko dla znalazców najpoważniejszych najbardziej groźnych dziur. Ponadto do 500 000 dolarów zwiększono kwotę za informacje o dziurach pozwalających na nieuprawniony dostęp do danych użytkownika.


« powrót do artykułu

Share this post


Link to post
Share on other sites

Gdyby był b ardziej popularny, to pewnie ilość znalezionych dziur zwiększyła by się. Tak samo jak w Windows. Lepiej szukać luk tam, gdzie istnieje ryzyko ataku na dużą ilość urządzeń. Teraz przyjęło się, że IOS jest nie do złamania. Podobnie jest z każdym niszowym systemem. Linuksa też ciężko złamać, ale czym bardziej znana dystrybucja, tym więcej osób używa i jest sens włamywania się i szukania luk. Pewnie z IOS byłoby tak samo.

Share this post


Link to post
Share on other sites

To prawda, że popularność ma znaczenie, ale IOS ma prężną branżę zeroday, tylko się o nich tak często nie słyszy. Są sprzedawane brokerom i korzystają z nich 3-literowe agencje. Linuks nie jest tak bezpieczny, jak się może wydawać. Sam korzystam od ponad 15 lat i kiedyś - bardzo dawno - tak myślałem, ale niektóre opublikowane krytyczne luki dają do myślenia ;-)

Przypomniał mi się ten artykuł z listopada 2017 o 40 podatnościach w podsystemie USB ;-)
https://www.theregister.co.uk/2017/11/07/linux_usb_security_bugs/

Quote

Monday, Google security researcher Andrey Konovalov disclosed 14 Linux USB flaws found using syzkaller, a kernel fuzzing tool developed by another Google software engineer, Dmitry Vyukov.

Quote

That's just the tip of the iceberg. In an email to The Register, Konovalov said he asked for CVEs for another seven vulnerabilities on Tuesday, and noted there are something like 40 that have not been fixed or triaged.

 

Edited by cyjanobakteria

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Dyski twarde i inne systemy zapisywania danych przechowują obecnie olbrzymią ilość informacji. Jednak urządzenia te, podobnie jak niegdyś taśmy magnetyczne czy dyskietki, mogą z czasem odejść do lamusa przez co stracimy dostęp do danych, które na nich gromadzimy. Dlatego też naukowcy opracowali metodę zapisu danych w DNA żywego organizmu. Ten rodzaj „pamięci masowej” w przewidywalnym czasie raczej nie stanie się przestarzały.
      Seth Shipman z Uniwersytetu Kalifornijskiego w San Francisco, który nie był zaangażowany w prace, chwali osiągnięcie swoich kolegów z Columbia University, ale zaznacza, że minie dużo czasu, zanim tego typu systemy trafią do praktycznego użytku.
      Naukowcy nie od dzisiaj mówią o przechowywaniu danych w DNA. Kwas deoksyrybonukleinowy to bardzo atrakcyjne medium. Umożliwia on ponad 1000-krotnie gęstsze upakowanie danych niż w najbardziej wydajnych dyskach twardych, co oznacza, że na przestrzeni wielkości ziarna soli można by zapisać 10 filmów kinowych. Ponadto, jako że DNA jest centralnym elementem systemów biologicznych można się spodziewać, że z czasem technologie zapisu i odczytu danych w będą coraz tańsze i coraz doskonalsze.
      Dotychczas by zapisać dane w DNA naukowcy zamieniali ciąg zer i jedynek na kombinacje par bazowych DNA, następnie dane kodowano w DNA. Jednak jako że dokładność syntezy DNA zmniejsza się wraz z długością, syntetyzuje się DNA o długości 200-300 par bazowych. Każdy z takich fragmentów otrzymuje unikatowy identyfikator, dzięki czemu wiadomo, gdzie znajdują się konkretne dane. To bardzo kosztowna metoda. Zapisanie 1 megabita informacji kosztuje nawet 3500 USD, a fiolki z DNA mogą z czasem ulegać degradacji.
      Dlatego też naukowcy próbują zapisywać dane w DNA żywych organizmów, które przekazują informacje pomiędzy pokoleniami.
      W 2017 roku zespół Harrisa Wanga z Columbia University wykorzystał technikę CRISPR do rozpoznawania sygnałów biologicznych, takich jak obecność fruktozy. Gdy naukowcy dodali fruktozę do komórek E. coli, zwiększyła się ekspresja genów w cząsteczkach pozachromosomowego DNA zwanych plazmidami.
      Następnie komponenty, które bronią bakterię przed wirusami, pocięły plazmid o zbyt dużej ekspresji genów, a jego część trafiła do konkretnej części bakteryjnego DNA, która zapamiętuje ataki wirusów. Ten dodatkowy element reprezentował cyfrowe „1”. Gdy sygnału z fruktozy nie było, mieliśmy do czynienia z cyfrowym „0”.
      Jednak, jako że w ten sposób można było przechowywać tylko kilka bitów danych, Wand i jego koledzy zastąpili obecnie system oparty na fruktozie systemem elektrycznym. Tak zmodyfikowali bakterię E. coli, że dochodzi w niej do wzrostu ekspresji w plazmidach w reakcji na przyłożone napięcie elektryczne. W ten sposób udało się elektrycznie zakodować w bakteryjnym DNA do 72 bitów danych i zapisać wiadomość „Hello world!”. Uczeni wykazali też, że mogą dodać E. coli do standardowej mieszaniny mikroorganizmów glebowych i później zsekwencjonować całość by odczytać zakodowaną wiadomość.
      Wang podkreśla, że to dopiero początek badań. Nie zamierzamy konkurować w obecnymi systemami przechowywania danych. Przed naukowcami wiele pracy. Muszą np. znaleźć sposób, by uchronić informacje przed degradacją spowodowaną mutacjami bakterii w trakcie podziałów.
      Ze szczegółami można zapoznać się na łamach Nature.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Osoby, które chciałyby wygrać wakacyjną wyprawę na Polską Stację Polarną Hornsund na Spitsbergenie mają jeszcze kilka dni na zgłoszenie się do konkursu „Misja Polarna”. Organizatorzy czekają na pomysły na projekt naukowy lub innowacyjny dotyczący obszarów polarnych.
      Nabór zgłoszeń do konkursu „Misja Polarna” trwa do 14 stycznia 2021 r. Uczestnicy konkursu przesyłają streszczenie (1500 znaków) swojego naukowego lub innowacyjnego pomysłu dotyczącego obszarów polarnych.
      W kolejnym etapie konkursu pomysł będzie rozwijany - uczestnicy przygotowują projekt w postaci eseju, filmu lub plakatu. Autorzy 12 najlepszych prac zaproszeni zostaną na rozmowę online, podczas której jurorzy ocenią sposób prezentacji i wiedzę na temat prezentowanego zagadnienia i wybiorą 6 zwycięzców, którzy latem pojadą z badaczami na wyprawę.
      Projekt badawczy może dotyczyć dowolnych badań środowiska biotycznego lub abiotycznego związanych z regionami polarnymi. Zaś projekt innowacyjny może dotyczyć dowolnych aspektów technicznych, zdrowotnych, psychologicznych i innych, związanych z prowadzeniem badań polarnych. Zaproponowane projekty badawcze czy innowacje nie muszą być poparte zrealizowanymi eksperymentami czy prototypami, ani też nie muszą być możliwe do przeprowadzenia w trakcie pobytu w Polskiej Stacji Polarnej Hornsund, jednak powinny być wykonalne według obecnego stanu wiedzy.
      Konkurs rozpatrywany będzie w dwóch kategoriach: młodzież (osoby między 15. a 19. rokiem życia), a także dorośli (osoby po 18. roku życia, które nie mają stopni ani tytułów naukowych ani nie są doktorantami).
      Z kolei młodsi przyszli naukowcy (10-14 lat) mają czas do 31 marca 2021 r. na przesłanie posteru naukowego. Zadaniem konkursowym jest wykonanie posteru naukowego na wybrany temat związany z badaniami polarnymi. Nagrodą będzie letni obóz naukowy – 3-dniowy wyjazd do obserwatoriów geofizycznych w Belsku i Świdrze. Uczestnicy zwiedzą wystawę polarną, wezmą udział w zajęciach w terenie, warsztatach, będą wykonywać eksperymenty laboratoryjne. Przewidziano również nagrody (łącznie 5) dla dalszych miejsc - pomoce naukowe, książki, drobny sprzęt.
      Konkurs organizowany jest w ramach projektu EDU-ARCTIC.PL finansowanego ze środków resortu nauki w ramach programu DIALOG. Szczegóły na stronie konkursu.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      US Army ogłosiła termin rozpoczęcia trzeciej edycji „Hack the Army”. Hakerskie zawody, w czasie których można będzie atakować sieć należącą do armii i zarobić na tym pieniądze, rozpocznie się 14 grudnia i potrwa do 28 stycznia lub do czasu, aż wszystkie przeznaczone na nagrody pieniądze zostaną rozdysponowane. Na razie nie wiadomo, ile pieniędzy przeznaczono na tegoroczną edycję zawodów. W roku 2019 rozdysponowano 275 000 USD.
      W bieżącym roku atakować można będzie cele w całej domenie army.mil, ale US Army zastrzega, że nagrody wypłaci tylko za znalezienie określonych kategorii błędów. Hakerzy będą mogli też atakować usługi uwierzytelniania oraz wirtualne sieci prywatne (VPN) należące do wojska.
      Projekt „Hack the Army” prowadzony jest przez US Army, Defense Digital Services, Army Cyber Command oraz firmę HackerOne. To jeden z wielu podobnych projektów prowadzonych przez amerykańskie siły zbrojne, w ramach których hakerzy mogą zdobywać pieniądze atakując wojskowe sieci i oprogramowanie. Pentagon stara się rozszerzać zakres takich programów, by w ten sposób wyłapywać luki w zabezpieczeniach. Na razie najdalej poszły US Air Force, które wprost ogłosiły, że chcą prowadzić tak dużo podobnych projektów, by hakerzy mogli utrzymywać się wyłącznie z nagród zdobywanych w takich zawodach. Będą mogli w ich ramach atakować nawet satelity.
      Firma HackerOne stworzyła platformę do współpracy z hakerami, która uzyskała odpowiednie certyfikaty bezpieczeństwa. Dzięki temu firma może organizować zawody takie, jak opisywane powyżej.
      Wszyscy uczestnicy „Hack the Army” zostaną najpierw sprawdzeni, a po pozytywnym przejściu weryfikacji otrzymają oficjalną zgodę na atakowanie army.mil i innych elementów sieci wojskowej. Będą przy tym musieli używać VPN, która będzie zapisywała i śledziła ich działania.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Najpopularniejsze domowe rutery zawierają poważne luki bezpieczeństwa, ostrzegają specjaliści z Instytutu Fraunhofera. Peter Weidenbach i Johannes vom Dorp przeanalizowali pod kątem bezpieczeństwa 127 popularnych domowych ruterów i odkryli, że większość z nich zawiera co najmniej 1 krytyczną dziurę, a w wielu z nich znaleziono setki znanych luk. Jakby tego było mało, średnia liczba krytycznych dziur na ruter wynosiła aż 53, a nawet najbezpieczniejszy z ruterów miał 21 znanych wcześniej luk.
      Eksperci przeanalizowali rutery m.in. takich producentów jak Netgear, Linksys, D-Link, ASUS, TP-Link czy Zyxel. Sprawdzali je m.in. pod kątem aktualizacji, wersji systemu operacyjnego, obecności znanych dziur, technik ochrony zastosowanych przez producenta oraz częstotliwości ich aktualizacji, obecności prywatnych kluczy w firmware oraz obecności zakodowanych na twardo haseł dostępowych.
      Podsumowując, nasze analizy wykazały, że nie istnieje ruter bez błędów, a żaden producent nie wykonuje perfekcyjnej roboty pod kątem zabezpieczeń. Producenci muszą włożyć olbrzymi wysiłek w to, by rutery stały się równie bezpieczne jak komputery czy serwery, mówią autorzy badań.
      Co prawda użytkownicy ruterów często popełniają błędy podczas ich konfiguracji, ale to nie one są główną przyczyną, dla której rutery są podatne na ataki. Analiza jasno pokazała, że to producenci tych urządzeń, pomimo tego, że wiedzą o istniejących dziurach, lekceważą swoje obowiązki i dostarczają użytkownikom źle zabezpieczone urządzenia. To lekceważenie klienta najlepiej widać w wersji użytego systemu operacyjnego. Spośród 127 ruterów aż 116 korzystało z Linuksa. Linux może być bardzo bezpiecznym systemem. Problem jednak w tym, że w większości przypadków producenci instalowali w ruterach przestarzałe wersje oprogramowania, pełne dziur i niedociągnięć. Większość ruterów korzystała z kernela 2.6, który nie jest utrzymywany od wielu lat [ostatnia wersja tego jądra ukazała się w 2011 roku – red.]. To zaś wiąże się z duża liczbą krytycznych błędów w tych urządzeniach, napisali badacze.
      Kolejny problem to rzadkie aktualizacje firmware'u. Zbyt rzadkie niż być powinny. Nawet jednak odpowiednio częste aktualizacje nie rozwiązują problemów. Okazało się również, że producenci ruterów bardzo rzadko stosują popularne techniki zapobiegania atakom. Bywa nawet tak, że używają powszechnie znanych haseł, których użytkownik nie może zmienić. Jakby jeszcze tego było mało, okazuje się, że w firmware wielu ruterów znajdują się łatwe do pozyskanie prywatne klucze kryptograficzne. To zaś oznacza, że nawet gdy próbujesz zabezpieczyć swój ruter, to nie jest on bezpieczny.
      Nie wszyscy producenci ruterów w równej mierze lekceważą klienta. Badacze ocenili, że najlepiej zabezpiecza rutery firma AVM International, chociaż jej produkty również zawierały dziury. Także ASUS i Netgear wyróżniały się pozytywnie na tle innych. Firmy te częściej aktualizowały oprogramowanie swoich urządzeń i wykorzystywały nowsze, wciąż wspierane, wersje jądra Linuksa.
      Najgorzej zaś wypadły produkty D-Linka, Linksysa, TP-Linka oraz Zyxela.
      Szczegóły analizy można przeczytać w dokumencie Home router security report 2020 [PDF].

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Dr Przemysław Mróz z Obserwatorium Astronomicznego Uniwersytetu Warszawskiego znalazł się wśród laureatów nagród Międzynarodowej Unii Astronomicznej (IAU). The 2019 IAU PhD Prize to nagrody za najwybitniejsze na świecie prace doktorskie w dziedzinie astronomii.
      Dr Mróz jest pierwszym polskim naukowcem, który został laureatem IAU PhD Prize. Międzynarodowa Unia Astronomiczna doceniła jego pracę doktorską Astrophysical applications of gravitational microlensing in the Milky Way napisaną pod kierunkiem prof. Andrzeja Udalskiego i obronioną w Obserwatorium Astronomicznym we wrześniu 2019 roku.
      O nagrodzie poinformował prof. Andrzej Udalski w przesłanym PAP w środę komunikacie.
      Praca doktorska dr. Mroza opisuje wyniki badań dwóch pionierskich projektów naukowych: pomiarów częstości występowania i własności planet swobodnych krążących w naszej Galaktyce oraz badania rozmieszczenia gwiazd i obiektów ciemnych w Drodze Mlecznej metodą wyznaczania głębokości optycznej i częstości tzw. zjawisk mikrosoczewkowania grawitacyjnego.
      Badania opierały się na wieloletnich obserwacjach centralnych części Drogi Mlecznej prowadzonych w ramach przeglądu nieba OGLE (Optical Gravitational Lensing Experiment) (http://ogle.astrouw.edu.pl/) Dr Mróz pokazał między innymi, że planety swobodne o masach zbliżonych do masy Jowisza występują znacznie rzadziej, niż wcześniej szacowano (https://www.uw.edu.pl/planety-podobne-doziemi/).
      Młody naukowiec (jest on stypendystą programu START Fundacji na rzecz Nauki Polskiej) po raz pierwszy odkrył kilka zjawisk mikrosoczewkowania grawitacyjnego wywołanych prawdopodobnie przez planety swobodne o masach zbliżonych do masy Ziemi, których istnienie było przewidywane przez teorie formowania się układów planetarnych.
      Publikacje przygotowane w ramach rozprawy doktorskiej dr. Mroza opublikowane w najbardziej prestiżowych czasopismach naukowych na świecie (m.in. Nature) odbiły się szerokim echem wśród społeczności astronomicznej i były do tej pory cytowane już ponad 150 razy.
      Dr Przemysław Mróz przebywa obecnie na stażu podoktorskim w California Institute of Technology w Stanach Zjednoczonych.
      Nagroda została przyznana przez jedną z najbardziej aktywnych i konkurencyjnych Sekcji IAU: Divison F – Planetary Systems and Bioastronomy – skomentował prof. Andrzej Udalski.
      Międzynarodowa Unia Astronomiczna to największa międzynarodowa organizacja astronomiczna powstała w 1919 roku. W skład IAU wchodzi ponad 80 krajów oraz ponad 13000 indywidualnych członków – profesjonalnych astronomów.
      Nagrody The IAU PhD Prize za najwybitniejsze rozprawy doktorskie są przyznawane od 2016 roku. Do tej pory nagrodzono ponad 30 laureatów. Nagroda zostanie wręczona dr. Przemysławowi Mrozowi w przyszłym roku podczas Zgromadzenia Ogólnego Międzynarodowej Unii Astronomicznej w Busan w Korei Południowej.

      « powrót do artykułu
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...