אפל וקספרסקי ישלמו מאות אלפי דולרים למגלי פרצות

אפל (Apple) וקספרסקי (Kaspersky) השיקו תוכנית Bug Bounty (לכידת באגים), עם תגמול כספי של עשרות אלפי דולרים לכל גילוי. ההכרזות נערכו בכנס Black Hat USA שהסתיים בסוף השבוע בלאס וגאס.

בהשקת התוכניות מצטרפות השתיים לענקיות IT ואינטרנט אחרות, כגון מיקרוסופט (Microsoft), גוגל (Google), ופייסבוק (Facebook), שהשיקו בעבר תוכניות דומות, ושילמו למגלי הפרצות בתוכנות שלהם מיליוני דולרים במצטבר.

"איתור הפרצות הולך ונהיה קשה יותר ויותר, בייחוד כשמדובר בפרצות קריטיות", אמר איאן קרסטיק, ראש יחידת ההנדסה והארכיטקטורה של אבטחת המידע באפל. החברה תשלם עד 200 אלף דולר לגילוי. "אנו מאמינים כי התוכנית לתגמול על גילוי פרצות הולמת את דרגת הקושי הנדרשת על מנת לתקוף את המערכות הללו", הוסיף.

כזכור לפני חודשים אחדים ה-FBI העביר להאקרים מקצועיים תשלום חד-פעמי בעבור פגיעויות שלא היו ידועות בעבר, שאפשרו לסוכנות לפתוח את ה-iPhone של היורה מסן ברנרדינו. הפגיעויות הללו סייעו ל-FBI לבנות מכשיר שמסוגל לפצח בכוח את ה-PIN של ה-iPhone, ללא הפעלת אמצעי ביטחון שהיה מוחק את כל הנתונים שנמצאים עליו. ההאקרים שסיפקו את האמצעים ל-FBI מוצאים נקודות תורפה בתוכנות, ולפעמים מוכרים אותם לממשל האמריקני, דיווח העיתון.

לספק את רמת ההגנה הגבוהה ביותר

קספרסקי הכריזה בכנס אף היא על השקת תוכנית לכידת באגים נושאת פרסים. באמצעות התוכנית, נמסר, מעבדת קספרסקי לא רק שתקדם את אסטרטגיית מזעור הסיכונים שלה מול פרצות מובנות בתוכנה – אלא גם תמשיך לחזק את יחסיה עם חוקרי אבטחת מידע חיצוניים.

"אופק איומי הסייבר הופך בימים אלה למורכב יותר, והוא דורש מחברות להמשיך לזהות ולהטמיע כלים יעילים במטרה לספק את רמת ההגנה הגבוהה ביותר", מסרה ענקית האבטחה הרוסית.

"תוכניות Bug Bounty הן אמצעי מוכח ויעיל, אשר מתמרץ חוקרים חיצוניים לאתר ולדווח באופן בטוח על פגיעות בחברות. כתוצאה מכך, ארגונים אלה יכולים לתקן את הבעיות שדווח עליהן במקום להותיר את הלקוחות בסיכון".

"פרצות הן דבר בלתי נמנע"

השלב הראשון בתוכנית החל בימים אלה ויימשך שישה חודשים. במהלך השלב הראשון, מעבדת קספרסקי תציע לחוקרי אבטחה פרסים בסך של 50 אלף דולר. משתתפים בתוכנית ייבחנו את מוצרי הדגל של החברה עבור לקוחות פרטיים וארגוניים. לאחר שיושלם השלב הראשון, החברה תעריך את התוצאות כדי לקבוע אילו מוצרים ופרסים נוספים יכללו בשלב השני של התוכנית.

"התוכנית תסייע לנו לשפר בהתמדה את האמצעים שאנו משתמשים בהם בבדיקות עמידות המוצרים שלנו", אמר ניקיטה שבצוב, סמנכ"ל טכנולוגיה, מעבדת קספרסקי.

"אנו חושבים שזה הזמן עבור כל חברות האבטחה, גדולות וקטנות, לעבוד באופן הדוק יותר עם חוקרי אבטחה חיצוניים, ולאמץ תוכניות שכאלה – ככלי יעיל והכרחי לשמירה על המוצרים והלקוחות שלהן. פרצות הן דבר בלתי נמנע ותוכניות לכידת באגים הוכיחו עצמן כמשלימות את תהליכי האבטחה המסורתיים עם התמיכה של קהילת האקרים גלובלית מגוונת ועצומה".