Търсене
Close this search box.

БЕЛИ ХАКЕРИ ОТКРИХА НЯКОЛКО УЯЗВИМОСТИ В APPLE

Етични хакери, по- известни като бели хакери, наскоро участваха в програмата с награди за откриване на уязвимости в Apple и постигнаха отлични резултати. В продължение на три месеца петима хакери, водени от 20-годишния Сам Къри, разкриха 55 уязвимости. Единадесет от тях бяха счетени за много критични. Възнаграждението на хакерите в момента е  $ 288 000 и продължава да расте.

Apple въведе програма с награди  за откриване на грешки през 2016 г., след като специалистите на компанията изпитваха все по-големи трудности да се справят с проблема със собствени сили.  Оттогава програмата заплаща милиони долари на етични хакери – доста изгодна инвестиция в сравнение с потенциалната цена дори на единичен проблем с уязвимост.

За екипа на Къри участието в подобно начинание беше огромно предизвикателство. Apple.com и iCloud.com притежават над 25 000 уеб сървъра. Apple притежава и 7000 други уникални имена на домейни. Къри и неговите сътрудници бяха готови за задачата. Една от критичните уязвимости, които откриха, включваше платформата iCloud на Apple и работеща слабост, която може да се разпространи чрез имейл, кражба на снимки и друга ценна информация. Друг проблем бе открит чрез грубо нахлуване в администраторски акаунт на Apple Distinguished Educator. Оттам е възможно по-нататъшно проникване във вътрешната мрежа. След откриването етичните хакери незабавно съобщиха за уязвимостите на Apple. Компанията отстрани всеки проблем в рамките на дни, а понякога и часове – с изключителна бързина,  което може да бъде трудно за една компания без стабилната инфраструктура и ресурси на Apple.

Експертите по киберсигурност са единодушни, че Apple е многостранно  защитена, но  при компания с толкова  голям дигитален отпечатък, уязвимости непременно ще има. Тестовете за проникване се прилагат вътрешно. Това обаче не винаги е достатъчно. Програмата за награди на Apple за краудсорсинг на любители и професионални етични хакери са формат за икономия на пари и време, за да се открият и премахнат пропуските.

В края на краищата, дори предвиденият бюджет за  изплащане на хакери на Apple от над 500 000 долара е дребна сума в сравнение с пробив в киберсигурността, особено, ако инцидентът включва рансъмуер, авария в комуникационните връзки, продължителен период на престой, спад на фондовия пазар или по-лошо.

Както се казва, „Всяка компания вече е технологична компания.“ Понастоящем повечето фирми имат онлайн присъствие. Те използват софтуер на трети страни и създават и / или купуват инфраструктура, която неизбежно включва слабости. Хакерите също стават все по-усъвършенствани. По този начин програмите с награди са все по-често срещан инструмент в микса  за киберсигурност на компанията.

Програмите с награди за грешки не са само за Голямата петорка от фирми. Всъщност те  са популярни сред бизнеса от всякакъв размер, включително стартиращи компании. Стартъпите работят усилено и бързо, за да пуснат продукта си на пазара с ограничени средства. Осигуряването на пълен кибер екип е трудно в началото. Експертите по киберсигурност са скъпи. А в момента има голям дефицит на експерти по киберсигурност – тенденция, която се влошава. Чрез задаване на параметрите на програма с награди за грешки и бюджетиране за намерени уязвимости, стартиращите компании имат достъп до експерти по киберсигурност бързо и лесно. За утвърден бизнес със солиден екип и стратегия за киберсигурност програмите с награди за грешки предлагат допълнителен слой сигурност. При големите компании в банковото дело и здравеопазването етичните хакери могат да покрият много повече терен, отколкото вътрешните екипи за киберсигурност.

Платформите с награди за грешки се предлагат от доверени доставчици като HackerOne и Bugcrowd. Тези предложения на SaaS помагат за стартирането на успешна програма за грешки, като осигуряват комуникационен път между етични хакери и предприятията. Техните хакери са проверени и способни. Ловците на бъгове получават възможността да увеличат своята креативност като  мислят като хакери. В пейзаж, където хакерството непрекъснато се променя и еволюира, програмите за киберсигурност бързо стават архаични. Повечето хакери, които участват в програми с  награди за грешки, излизат на разумна цена. Някои го правят, за да повишат уменията си като служител в киберсигурността или бъдещ такъв. Други го правят, за да се надяват да намерят Големия, който плаща големи пари. Трети –  за да участват в сплотената общност от етични хакери, които споделят знания помежду си. Каквато и да е причината, с нарастването на киберпрестъпността етичното хакерство е преминало в нова фаза на развитие. Дори Министерството на отбраната на САЩ използва етични хакери.

Работата с етична хакерска организация обаче не е толкова проста, колкото изглежда. Важно е първо да се положи правилната основа.

  • Не забравяйте, че истинските хакери намират уязвимости. Те не ги проверяват и поправят. Ако екипът за киберсигурност на организацията не е готов да действа по въпросите, открити от етичен хакер – камо ли да разбере доклада, издаден от хакера – това означава, че тези средства е най-добре да се инвестират в по-силен екип по киберсигурност.
  • Целта на етичното хакерство не е да бъде цялостно кибер решение. След като бъде изпълнена силна политика за киберсигурност, тя трябва да бъде внедрена като база за използване. С други думи, трябва да са налице основни сканирания за сигурност, тестове и най-добри практики, преди да се използва програма за грешки. Програмите с  награди за грешки не трябва да се оценяват като поредното усилие за високо ниво на киберсигурност.
  • Има няколко различни модела на награди за грешки. Някои работят под определен обхват. Други работят по време на годишни или двугодишни „хакове“, за разлика от услуга, предлагана целогодишно. Различните доставчици предлагат различни видове платформи. За да работи програмата за награди за грешки, това трябва да бъде съвместно усилие между ИТ, екипа за киберсигурност и белите хакери.

 

Въпреки че етичното хакерство не е задължително решение, все пак – за екипите за киберзащита, които търсят следващата стъпка към повишена сигурност, може да е точно такова.

 

Източник: По материали от Интернет

Подобни публикации

6 декември 2023

Austal USA потвърждава кибератака след изтичане...

Austal USA, корабостроителна компания и изпълнител на Министерствот...
6 декември 2023

Tipalti: няма пробив на рансъмуер, няма заплаха...

Противно на твърденията, съобщени от известната група BlackCat/ALPH...
6 декември 2023

Хакери са нарушили медицинските данни на израе...

Хакерска група твърди, че е откраднала 500 GB медицински данни от м...
6 декември 2023

Evil Twin - какво е и как да се предпазим

Използването на обществени Wi-Fi мрежи може да създаде значителни р...
5 декември 2023

СМС измамите - как да се предпазим

Получавали ли сте някога нежелано текстово съобщение, което обещава...
4 декември 2023

Ирански хакери превземат контролери на водни съ...

Критичната инфраструктура в няколко американски щата може да е била...
4 декември 2023

Рансъмуерът е безмилостен: какво можете да напр...

Не само, че броят на рансъмуерите се увеличава, но този вид зловред...
3 декември 2023

Свалянето на Qakbot: Смекчаване на последиците ...

Министерството на правосъдието на САЩ и ФБР наскоро си сътрудничиха...
Бъдете социални
Още по темата
15/11/2023

Значението на непрекъснатия...

През 2023 г. средната глобална цена...
15/11/2023

Нова уязвимост в AMD SEV ра...

Група учени е разкрила нова „атака...
30/10/2023

iLeakage: Нов пробив в Safa...

Група учени е разработила нова атака...
Последно добавени
06/12/2023

Austal USA потвърждава кибе...

Austal USA, корабостроителна компания и изпълнител...
06/12/2023

Tipalti: няма пробив на ран...

Противно на твърденията, съобщени от известната...
06/12/2023

Хакери са нарушили медицин...

Хакерска група твърди, че е откраднала...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!