САН-ФРАНЦИСКО — После того, как аноним обратился к ФБР с предложением помочь разблокировать iPhone стрелка из Сан-Бернардино, многие в индустрии ИТ безопасности заявили, что они совсем не удивлены тем, что он обратился именно к ФБР, а не к Apple. Несмотря на все шаги, предпринятые Apple для шифрования переговоров своих клиентов и риторику вокруг неприкосновенности личной жизни клиентов, эксперты в области ИТ безопасности отмечают, что Apple по-прежнему отстает от конкурентов в области защиты своих систем от хакеров. И когда хакеры, действительно, находят дыры в коде Apple, они не спешат обращаться к компании для их исправления. Google, Microsoft, Facebook, Twitter, Mozilla и многие другие высокотехнологичные компании платят хакерам за информацию об ошибках в своих продуктах и системах. Во вторник Uber начал новую программу по поиску ошибок в своей операционной системе, предусматривающую щедрое вознаграждение для участников. Компания Google выплатила внештатным хакерам более 6 млн. долларов в рамках «работы над ошибками», начатой в 2010 году. На прошлой неделе компания удвоила максимальную награду до 100,000 долларов для тех, кто сможет взломать Chromebook. Компания Apple, которая на протяжении многих лет отличалась высокой безопасностью своих продуктов, считает, что безопасность – это бесконечная игра в кошки-мышки, и она не желает участвовать в финансовой «гонке вооружений» и платить за взлом своего кода. Компания до сих пор не предлагает хакерам что-то более существенное, чем золотую звезду: когда хакеры находят серьезные недостатки в коде Apple, их имя появляется на сайте компании. На этом все. Хакеры могут получить гораздо больше, если они продадут дыры в продуктах или коде Apple на процветающем сейчас черном рынке технологий, где большое количество компаний и государственных учреждений готовы щедро платить хакерам за их находки. В понедельник Правительство Соединенных Штатов сделало заявление, что анонимная третья сторона обратилась к нему, а не к Apple, чтобы оказать содействие во взломе iPhone, ставший яблоком раздора. Это лишний раз показывает неэффективность политики гигантской корпорации в области ИТ безопасности и ее отставание от остальной части индустрии высоких технологий. Эксперты в области безопасности, особенно те, кто занимаются поиском программных ошибок, говорят, что компания Apple теперь должна делать больше в области ИТ безопасности. Это особенно актуально сегодня, когда цена поиска ошибок и их исправлений возросла. На этой неделе исследователи из Университета Джона Хопкинса обнаружили ошибку в коде, которая позволяет расшифровать фотографии и видео, прикрепленные к сообщениям в программе IMessage от Apple. Исследователи передали информацию об ошибке в Apple для ее исправления. «Учитывая тот факт, что ставки существенно возросли, компания Apple, если хочет успешно конкурировать в современном мире, должна изменить свой подход», сказала Кэти Моусоурис, ответственная за связи с общественностью в компании HackerOne, с которой такие компании, как Yahoo, Dropbox и теперь Uber заключили контракты на поиск ошибок. По состоянию на вторник личность анонима, предложившего помощь ФБР в разблокировке iPhone одного из стрелков, устроивших в прошлом году бойню в городе Сан-Бернардино, штат Калифорния, остается неизвестной. Его появление приостановило, по крайней мере, на время, разбирательство между компанией Apple и Правительством Соединенных Штатов касательно того, должна ли компания оказать содействие правоохранительным органам во взломе iPhone. Министерство Юстиции отказался назвать анонима, будь то один человек или организация, и описать предлагаемый метод взлома устройства. Существует множество причин, почему аноним не обратился в Apple. В прошлом системы Microsoft чаще всего становились мишенью для хакерских атак. В основном, это объясняется преобладанием продукции Microsoft на рынке. Но после начала общения Microsoft с хакерским сообщества, безопасность ее продуктов улучшилась. После того, как компьютеры и мобильные устройства производства Apple отвоевали большую долю рынка и клиенты стали доверять им все больше и больше своих персональных данных, продукты компании Apple стали ценной мишенью для преступных элементов и шпионов. Пресс-секретарь компании Apple процитировал Крейга Федериджи, старшего вице-президента компании по разработке программного обеспечения: «Безопасность – это бесконечная гонка, в которой вы можете лидировать, но победить в ней нельзя». «Наша команда должна неустанно работать, чтобы оставаться на шаг впереди злоумышленников, которые стремятся заполучить личную информацию», сказал г-н Федериджи. «Несмотря на все наши усилия, ничто не может гарантировать 100-ую безопасность». Компания Apple издавна не особо заметна в сфере ИТ безопасности по сравнению с другими высокотехнологичными компаниями. Она избегает программ финансового вознаграждения за поиск ошибок, полагаясь на собственные силы при тестировании программного обеспечения и штатную команду ИТ безопасности. По информации, полученной анонимно от трех сотрудников Apple, не уполномоченных говорить о вопросах ИТ безопасности от лица компании, такой подход объясняется нежеланием участвовать в финансовой «гонке вооружений». Компания Apple заявила, что постарается получить максимум информации о бреши в программном или аппаратном обеспечении, о котором заявил аноним правоохранительным органам. Во вторник один из руководителей Apple в ходе телефонной конференции заявил, что если метод взлома, предложенный анонимом Правительству, не сработает и Правительство снова обратится к Apple за помощью, корпорация затребует информацию о способе, который использовался при попытке взлома, чтобы в дальнейшем усилить безопасность своих продуктов насколько это возможно. В случае, если предложенный метод взлома сработает, Правительство сможет отменить постановление Суда с требованием к Apple оказать содействие правоохранительным органам, но при этом сохранит в секрете сам метод взлома. В таком случае у Apple не будет возможности узнать, каким образом Правительству удалось взломать программное обеспечение или само устройство. Информация о дырах в коде программного обеспечение Apple становится все более востребованной, учитывая, что мобильные устройства используются сейчас повсеместно, и участники черного рынка ИТ технологий готовы платить за нее большие деньги. Информация об ошибке в мобильном устройстве Apple может стоить до миллиона долларов. В сентябре прошлого года компания Zerodium со штаб-квартирой в Вашингтоне, которая занимается продажей информации об ошибках в ИТ системах Правительству и корпорациям, объявили награду в 1 миллион долларов для любого, кто найдет брешь в операционной система Apple iOS9. Данная операционная система установлена на iPhone стрелка из Сан-Бернардино. К ноябрю Zerodium объявила, что анонимная команда хакеров добилась поставленной цели и обратилась за вознаграждением. Чауоки Бекрар, основатель Zerodium, сказал, что его компания не является анонимом, который обратился к Правительству в понедельник. При этом г-н Бекрар добавил, что даже если бы Zerodium помогла ФБР, она бы сохранила это в тайне. «Помимо Zerodium есть тысячи других организаций, которые занимаются этим же делом, но они менее публичны. И они платят хакерам, которые находят необходимую информацию, чтобы те держали это в секрете», говорит Кейси Эллис, основатель BugCrowd, компания из Сан-Франциско, которая помогает вендорам работать в рамках программы по поиску ИТ ошибок. Жаркая битва между Правительством Соединенных Штатов и Apple, возможно, непреднамеренно спровоцировала рост спроса на ошибке в коде Apple на черном рынке ИТ технологий. Джон Оберхейд, главный технический директор компании Duo Security, работающей в области безопасности облачных технологий сказал, что учитывая давление ФБР на Apple с целью получить помощь компании в разблокировке iPhone, постановление Суда и публичную информацию о том, что доступ к iPhone пока так и не получен, хакеры осознали, что перед ними свободная ниша, которую они смогут занять, если добьются успеха. Ряд аналитиков заявили, что какое бы вознаграждение сейчас Apple ни предложила за информацию об ошибках в их программном обеспечении или устройствах, на черном рынке цена будет выше. Компания Apple ждала слишком долго, и продажа информации об ошибках в ее коде стала чрезвычайно прибыльным бизнесом на черном рынке. Возможно, какую бы щедрую программу вознаграждения за информацию об ИТ ошибках ни запустила сейчас компания, поезд уже ушел. «Компания Apple может нанять любых исследователей в области ИТ безопасности или запустить мощную программу по защите своей ОС, но она никогда не сможет конкурировать с тем, что происходит за кулисами на черном рынке», говорит Джей Каплан, бывший N.S.A. аналитик и соучредитель SYNACK, компании, которая нанимает хакеров для поиска уязвимых мест в системах клиентов. «Это просто невозможно».

0

0