Zestawienie tygodniowe 16 - 23 grudnia

Cztery miesiące po oficjalnym ogłoszeniu na konferencji Black Hat w Las Vegas Apple uruchomiło swój program nagród za wykryte błędy. To kolejna wielka firma, która zauważyła, że opłaca się współtworzyć zewnętrzną społeczność, która podnosi jakość oprogramowania.

Program premiowy za błędy działał w Apple od ponad trzech lat, ale do tej pory był skierowany do pracowników. W sierpniu tego roku Apple ogłosiło, że program bug bounty będzie otwarty, a także zwiększą się nagrody za krytyczne luki. Firma jest gotowa zapłacić nawet 1 000 000 USD za krytyczne luki w zabezpieczeniach, które można wykorzystać bez interakcji użytkownika, z pomijaniem kodów PAC (Pointer Authentication Codes).

Najniższe maksymalne wypłaty wynoszą 100 000 USD za nieautoryzowany dostęp do danych konta iCloud na serwerach Apple, obejście blokady ekranu (atak urządzenia poprzez fizyczny dostęp) oraz nieautoryzowany dostęp do wrażliwych danych (atak urządzenia za pomocą aplikacji zainstalowanej przez użytkownika).

Ataki sieciowe, które dają dostęp do poufnych danych jednym kliknięciem, mogą przynieść naukowcom 150 000 USD, a te, które skutkują wykonaniem kodu jądra systemu jednym kliknięciem, mogą otrzymać nagrody w wysokości do 250 000 USD. Maksymalne wypłaty za exploity przy zerowym kliknięciu wynoszą od 250 000 do 1 000 000 USD. Apple ogłosiło również, że analitycy bezpieczeństwa mogą otrzymać 50% premii za wykrywanie i zgłaszanie problemów „nieznanych Apple i unikalnych dla określonych bet deweloperów i bet publicznych, w tym regresji”.

Firma stawia też warunki przed osobami chcącymi uzyskać nagrody: badacze bezpieczeństwa powinni jako pierwsi zgłosić zidentyfikowany problem, przedstawić jasny raport i działający exploit oraz powstrzymać się od publicznego ujawnienia tej luki, zanim Apple wyda własną instrukcję bezpieczeństwa.

Nagrody są jednak trudne do uzyskania. Securityweek cytuje jedną z osób, które uczestniczą w programie: „Bardzo miłe nagrody. Ale czas reakcji jest frustrujący. Wysyłam jeden raport kilka miesięcy temu i otrzymuję tę samą odpowiedź, gdy poproszę o status – „obecnie nie mamy aktualizacji do udostępnienia”.

Autor: Kapitan Hack Data dodania: 23 gru 2019 11:37 5 min czytania

A tymczasem Huawei…

Otworzył centrum innowacji 5G w Londynie, w którym Huawei promuje lepszą współpracę z brytyjskim ekosystemem 5G, a także pokazuje potencjalny wpływ 5G na życie. Ośrodek zlokalizowany jest w przestrzeni coworkingowej Cocoon Global. W centrum znajdują się interaktywne wyświetlacze, na których odwiedzający mają okazję występować ze swoimi ulubionymi zespołami za pomocą wirtualnej rzeczywistości.

Odbędą się również prezentacje edukacyjne pokazujące, w jaki sposób można wykorzystać technologię 5G w takich obszarach, jak inteligentna produkcja i opieka zdrowotna.

Otwarcie centrum innowacji nastąpiło po niedawnym uruchomieniu centrum badawczego 5G w Szwajcarii wraz ze szwajcarskim telco Sunrise.

Firma otworzyła również laboratorium Singapurskiej Sztucznej Inteligencji 5G (AI) w Singapurze, aby zapewnić miejsce do testowania projektów rozwojowych AI.

Wielka Brytania pozostaje niezdecydowana w sprawie sprzętu chińskiego giganta technologicznego, pośród zakazów z Australii, Stanów Zjednoczonych i Japonii. Mimo że nie podjęto jeszcze decyzji o zakazie urządzeń Huawei z jego sieci 5G, brytyjskie Telecomy wykorzystały sprzęt firmy do wdrożenia sieci nowej generacji, pomimo raportu wskazującego na poważne wady tego sprzętu. Niedawny raport opublikowany przez Komisję Europejską i Europejską Agencję ds. Cyberbezpieczeństwa ostrzegł, że 5G zwiększy ścieżki ataku dla podmiotów państwowych.

„Zwiększona rola oprogramowania i usług dostarczanych przez dostawców zewnętrznych w sieciach 5G prowadzi do większego narażenia na szereg słabych punktów, które mogą wynikać z profilu ryzyka poszczególnych dostawców”, stwierdza raport – „Poważne wady bezpieczeństwa, takie jak te wynikające ze złych procesów opracowywania oprogramowania u dostawców sprzętu, mogą ułatwić podmiotom złośliwe wprowadzanie celowych backdoorów do produktów i utrudnić ich wykrycie. Może to zwiększyć prawdopodobieństwo ich wykorzystania prowadzącego do szczególnie poważny i powszechny negatywny wpływ ”.

Huawei podał, że w trzecim kwartale przychody osiągnęły 611 miliardów juanów (około 86 miliardów dolarów), co oznacza wzrost o 24,4% w porównaniu z analogicznym okresem ubiegłego roku.

Głuchy telefon z Koszalina? Belgowie ostrzegają

Jak podaje next, Belgijski oddział policji z Beringen ostrzega przed połączeniami z Polski. Jest to próba oszustwa, mająca na celu wymuszenie płatnej rozmowy telefonicznej. Połączenie jest wykonywane z numeru +48 94, co wskazuje na to, iż naciągacz dzwoni z Koszalina lub jego okolic. Mechanizm jest prosty jak budowa cepa. Koszalinianin lub Koszalinianka puszczają tak zwanego gonga czyli jedno połączenie na belgijski numer telefonu. Jeżeli losowy Belg oddzwoni znajdzie to odzwierciedlenie w wysokości jego telefonicznego rachunku. Do tej pory Koszalin kojarzył się nam jako miejsce urodzenia Kuby Wojewódzkiego albo mefedronowa hurtownia, a tu takie wykorzystanie technologii. Nie polecamy, ale doceniamy ewolucje.