Hacking (etico) alle infrastrutture Apple per tre mesi: 55 vulnerabilità individuate e 50 mila dollari di ricompensa

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/sicure...nsa_92633.html

Un gruppo di ricercatori di sicurezza decide di mettere alla prova le infrastrutture web di Apple: il progetto dura tre mesi, nel corso dei quali individuano 55 vulnerabilità, alcune delle quali critiche o molto gravi

Click sul link per visualizzare la notizia.

[Perseverance]

La sicurezza è sempre vista come una voce negativa al bilancio aziendale. Costa meno lasciare lì dove sono le vulnerabilità e magari di tanto in tanto elargire briciole a chi le trova che non stipendiare un team fisso interno deputato alla sicurezza. Questi sono cinque individui. Tre mesi di lavoro specializzato, cinque persone, 50000€ di cash esentasse, sono 10000€ a testa e sono circa 3300€ al mese. Non l'ha pagati nulla.

Se l'aspetto sicurezza di qualunque azienda, figuriamoci di apple google e le più famose, è trattata, gestita e liquidata come nel modo descritto qui sopra, affidandosi al caso di 5 persone che potevano benissimo grattarsi la pancia, allora andiamo veramente bene.

Dati pubblici di tutti in mano a privati che hanno queste "accortezze" nel trattamento e nella tutela degli stessi. Auguri...

[pengfei]

Ho letto da un'altra parte che il gruppo si aspetta che il totale delle ricompense superi i 500 mila dollari, tutto sommato neanche questa cifra è particolarmente alta, se qualcuno avesse sfruttato le vulnerabilità probabilmente Apple e gli utenti avrebbero subito danni di ordini di grandezza superiori

[bonzoxxx]

E' ora di mettere a frutto il mio diploma CEH

Bravi, soldi meritati.

[Perseverance]

Quote:

Originariamente inviato da pengfei

Ho letto da un'altra parte che il gruppo si aspetta che il totale delle ricompense superi i 500 mila dollari

Aspetta e spera

Quote:

tutto sommato neanche questa cifra è particolarmente alta, se qualcuno avesse sfruttato le vulnerabilità probabilmente Apple e gli utenti avrebbero subito danni di ordini di grandezza superiori

Allora non si capisce! Non è la cifra la cosa importante ma è la gestione della sicurezza. La sicurezza non può e non deve essere quantificata con una cifra, xkè riguarda tutti ed in particolare i dati di tutti. Se questi sono i modi con cui le più grandi società che detengono i nostri dati trattano il fattore sicurezza...lascio a te le conclusioni.

Che non abbiano avuto 5 persone specializzate a quello scopo nell'organico da dedicare a quel lavoro non ci credo. La realtà è lì palese fra le righe: risparmiare sacrificando la tutela dei dati e la sicurezza. Evidentemente gli costa meno fare così che non pagare un team fisso di ricercatori. Come ad altre società del resto. Il capitalismo non si smentisce mai...

[bonzoxxx]

Quote:

Originariamente inviato da Perseverance

Aspetta e spera

Che non abbiano avuto 5 persone specializzate a quello scopo nell'organico da dedicare a quel lavoro non ci credo. La realtà è lì palese fra le righe: risparmiare sacrificando la tutela dei dati e la sicurezza. Evidentemente gli costa meno fare così che non pagare un team fisso di ricercatori. Come ad altre società del resto. Il capitalismo non si smentisce mai...

Posso dirti una cosa? I Certified Ethical Hacker come me devono necessariamente essere esterni perché solo cosi trovi le vulnerabilità, fidati si deve fare così

Concordo con te sul discorso della sicurezza dei dati e sul fatto che non si investa su quello.

[utente_medio_]

Quote:

Originariamente inviato da Perseverance

La sicurezza è sempre vista come una voce negativa al bilancio aziendale. Costa meno lasciare lì dove sono le vulnerabilità e magari di tanto in tanto elargire briciole a chi le trova che non stipendiare un team fisso interno deputato alla sicurezza. Questi sono cinque individui. Tre mesi di lavoro specializzato, cinque persone, 50000€ di cash esentasse, sono 10000€ a testa e sono circa 3300€ al mese. Non l'ha pagati nulla.

Se l'aspetto sicurezza di qualunque azienda, figuriamoci di apple google e le più famose, è trattata, gestita e liquidata come nel modo descritto qui sopra, affidandosi al caso di 5 persone che potevano benissimo grattarsi la pancia, allora andiamo veramente bene.

Dati pubblici di tutti in mano a privati che hanno queste "accortezze" nel trattamento e nella tutela degli stessi. Auguri...

riporto dal blog:

As of now, October 8th, we have received 32 payments totaling $288,500 for various vulnerabilities.


direi che la tua teoria non regge, inoltre non penso proprio che apple non abbia un team di sicurezza interna

[bonzoxxx]

Quote:

Originariamente inviato da utente_medio_

riporto dal blog:

As of now, October 8th, we have received 32 payments totaling $288,500 for various vulnerabilities.


direi che la tua teoria non regge, inoltre non penso proprio che apple non abbia un team di sicurezza interna

Le vulnerability assessment si fanno sempre con team esterni perché non sanno come è fatta una rete e non commettono errori in buona fede che potrebbe commettere un sys admin interno, è cosi che funziona.

[utente_medio_]

Quote:

Originariamente inviato da bonzoxxx

Le vulnerability assessment si fanno sempre con team esterni perché non sanno come è fatta una rete e non commettono errori in buona fede che potrebbe commettere un sys admin interno, è cosi che funziona.

magari con qualys..
si scherza ovviamente, intendevo che apple sicuramente ha un team di sicurezza interno, ovvio che poi gli assestment devono essere esterni per le ragioni da te citate

[bonzoxxx]

Quote:

Originariamente inviato da utente_medio_

magari con qualys..
si scherza ovviamente, intendevo che apple sicuramente ha un team di sicurezza interno, ovvio che poi gli assestment devono essere esterni per le ragioni da te citate

Dipende, la VA fa parte di un processo più ampio, di solito in un pen test si va a fondo fino a sfeuttare le vulnerabilità trovate senza, possibilmente, fare danni

È un campo molto interessante, io non sono bravo serve molta esperienza oltre al pezzo di carta, però le soddisfazioni ci sono. Spero di approfondire sempre si più.