Büyük yazılım şirketleri ve internet sitesi sahipleri başta olmak üzere birçok ürün sahipleri, ürünlerinin açıklarını bulan kişilere belirli bir miktar para ödeyerek onları açığı bildirmelerinin karşılığı olarak ödüllendiriyorlardı. Bu ödüllendirme sistemi sayesinde hackerlar ve dikkatli kullanıcılar hata bulma çabası içerisine girerek sistemleri kurcalayıp buldukları hataları şirkete bildirip ödül almanın peşindelerdi.
Ödül sistemini uygulayan şirketler arasında Microsoft, Yahoo, Facebook, Google ve Twitter gibi büyük şirketler yer alırken, Apple böyle bir şeye ya ihtiyaç duymuyordu ya da sadece uygulamama kararı almıştı. Fakat geçtiğimiz günlerde Las Vegas’da düzenlenmiş olan BlackHat güvenlik konferansında esnasında konuşan Apple sözcüleri, artık iOS işletim sistemlerinde yer alan açıkları bulan kişilere ödül vereceklerini duyurdu.
İşletim sistemlerinde güvenlik dediğimiz anda akıllara elbette kullanım oranına karşın iOS gelmekte. Kapalı bir sistem olan Apple için güvenlik en başından beri şirket için en önemli noktalardan biri olmuştur. Güvenliği ön planda tutarak cihazlarını zararlı yazılımlardan uzak tutan Apple, bir yandan da cihazlarının ömrünü uzatmış oluyor ve bu da elbette ürünlerini pazarlama kısmında büyük bir etmen oluyor. Güvenliğe verdikleri önemi bundan sonra bu ödül sistemi ile bir tık daha üste taşımayı hedefleyen Apple, hata bildiren kişilere 200 bin dolar vereceklerini açıkladılar. Fakat her hata tabii ki 200 bin dolar değerinde değil.
Ne tür hatalar karşılığında ne kadar ödenecek?
Donanım bileşenlerindeki yazılımlar secure boot modunda iken bulunan açıklar için 200 bin dolara kadar,
Secure Enclave’den çıkarılmasına izin verebilecek gizli materyaller için 100 bin dolara kadar,
Rastgele ya da Kernel vasıtası ile kötü yazılımların aktif hale getirilmesi için 50 bin dolara kadar,
(Bu güne kadar sıkıntı yaşanan hassas bir nokta) Apple’ın sunucularında barınan iCloud hesaplarının içerisine erişim sağlayanlar için 50 bin dolara kadar,
Sandbox dışındaki kullanıcı verilerine erişenler için verilecek ödül ise 25 bin dolara kadar yükselebiliyor.
Ödül sistemleri arasında büyük şirketlerin ayırdıkları bütçelerin yanında Apple’ın bütçesi en yüksek bug bounty bütçelerinden biri. Fakat elbette yazılımlardaki açıkları bulabilecek kapasitede olan kişiler için bu açıkları bulup bu miktarlar karşılığında Apple’a teslim etmek fikri çok kolay değil. Çünkü Apple’ı hacklediklerini duyurup oldukça sağlam bir şöhret elde etme şansları var. Ya da FBI gibi güvenlik kuruluşlarına ya da üçüncü kişiler ile iletişime geçmeleri de oldukça olası.
FBI iOS’u Hackleyecek Kişiye 1 Milyon Dolar Ödemişti
FBI geçtiğimiz zamanlarda San Bernardino’da yaşanan bir olayda saldıran kişinin iPhone telefonundaki şifreyi çözmesi için telefona 1 milyon dolar ödül koymuştu. Bunun üzerine bir hacker bu şifreyi çözüp FBI’ya teslim etmişti. Bu olay ise Apple’a ise büyük bir şok yaşatmıştı. Apple’ın bu ödül sistemini bu olayın ardından gerçekleştirmesine pek denk gelmiş diyemeyiz.
Bir önceki yazımız olan Passolig Mobil Uygulaması Passo Mobil başlıklı makalemizi de okumanızı öneririz.
Bu yazı yoruma kapanmıştır, anlayışınız için teşekkür ederiz.