بازدید از سایت هزاره
مجله هزاره
بازدید از سایت هزاره

چرا اپل حاضر است ۲ میلیون دلار به هکرهای کلاه‌سفید بدهد؟

اپل
مشاوره جهت دریافت آگهی مناقصه و مزایده

در عصر اطلاعات، شرکت‌ها با چالش‌های امنیتی بسیار پیچیده‌ای روبه‌رو هستند. وقتی خبر می‌آید که اپل حاضر است برای کشف نقاط ضعف امنیتی دستگاه‌ها و نرم‌افزارهایش تا ۲ میلیون دلار جایزه دهد، این خبر حتی برای کسانی که به مباحث فناوری علاقه نداشته‌اند، شوک‌آور است. چرا یک شرکت چند تریلیون دلاری حاضر است چنین مبلغی را به هکرهای «کلاه سفید» (یعنی کسانی که از دید اخلاقی و قانونی در جستجوی آسیب‌پذیری‌ها هستند) بپردازد؟ در این مقاله از مجله هزاره،به بررسی دلایل، معنی‌ها و پیامدهای این تصمیم می‌پردازیم.

مسابقه امنیت در عصر دیجیتال

امنیت در حوزه فناوری اطلاعات از ابتدا موضوعی جدی بوده است، اما در دهه‌های اخیر اهمیت آن به سطحی رسیده که می‌تواند سرنوشت یک شرکت را تعیین کند. هکرهای «کلاه‌ سیاه» (Black Hat) مرتب به دنبال نقاط ضعف نرم‌افزارها و سخت‌افزارها هستند تا به داده‌های حساس کاربران یا هک گسترده دست یابند. در مقابل، هکرهای «کلاه سفید» (White Hat) تلاش می‌کنند این نقاط ضعف را کشف کرده، به شرکت مربوط گزارش دهند و اجازه دهند تا پیش از سوء استفادهٔ دیگران، مشکل رفع شود.

سال‌هاست که شرکت‌های بزرگ، به ویژه در حوزه نرم‌افزار و پلتفرم‌های موبایلی، برنامه‌های Bug Bountyرا اجرا کرده‌اند؛ یعنی به کسانی که آسیب‌پذیری جدیدی کشف می‌کنند، پاداش مالی می‌دهند. اما آنچه اکنون اپل انجام می‌دهد، فراتر از حالت مرسوم است: جایزه‌ای در سطح میلیون‌ها دلار، به شرط این که آسیب‌پذیری بسیار پیچیده و مهم باشد. این حرکت را باید در بستر رقابت امنیتی میان شرکت‌ها، فشار بازار و تهدیدهای روزافزون جاسوسی و نفوذ دولتی فهمید.

مقاله پیشنهادی: معرفی لپ تاپ لنوو loq

 آنچه اپل رسماً اعلام کرده است

برای اینکه بحث پایه‌ی محکمی داشته باشیم، ابتدا بخشی از اعلامیهٔ رسمی اپل را بررسی کنیم:

اپل در وبلاگ امنیتی خود اعلام کرده که بیشینه پاداش (top award) را به ۲ میلیون دلار افزایش داده است، برای زنجیره‌ای از اکسپلویت‌ها (exploit chains) که بتواند عملکردی مشابه حملات پیشرفته جاسوسی یا بدافزاری انجام دهد.

علاوه بر آن، اپل سیستم «بونوس» (bonus) هم برای مواردی مانند عبور از حالت «Lockdown Mode» یا یافتن آسیب‌پذیری در نسخه‌های بتا در نظر گرفته است، به طوری که مجموع پاداش ممکن است به بیش از ۵ میلیون دلار برسد.

اپل همچنین بخش‌های بیشتری را به قلمرو برنامه باج‌ِی (Security Bounty) اضافه کرده، از جمله آسیب‌پذیری‌های «one-click WebKit» و حملاتی که با نزدیکی فیزیکی به دستگاه رخ می‌دهند (wireless proximity).

در بخش «دسته‌بندی‌ها» (categories) نیز جدول پاداش‌هایی را ارائه کرده است که بر اساس نوع حمله، سطح دسترسی و نوآوری گزارش تعیین می‌شوند.

به بیان ساده، اپل می‌گوید: «اگر بتوانید آسیب‌پذیری‌ای پیدا کنید که واقعاً سیستم را به درد سر بیندازد، مثلاً بتوانید از راه دور کد اجرا کنید بدون اینکه کاربر حتی بداند،ما حاضر هستیم میلیون‌ها دلار پاداش بدهیم، چون این نوع ضعف‌ها می‌توانند به دشمنان خیلی گران تمام شوند.»

اما چرا اینها برای اپل مهم‌اند؟ در ادامه به دلایل پشت این تصمیم می‌پردازیم.

دلایل استراتژیک اپل برای اعطای این پاداش سنگین

دلایل استراتژیک اپل به شرح زیر می باشد:

جلوگیری از فروش به رقبا یا دولت‌ها

    در بازار آسیب‌پذیری‌ها، قیمت‌ها نجومی است؛ بدافزارهای پیشرفته، exploit‌های روز صفر (zero-day) و ابزارهای جاسوسی توسط دولت‌ها یا شرکت‌های امنیتی خریده و فروخته می‌شوند. اگر هکری یک آسیب‌پذیری مهم در iOS یا macOS کشف کند، ممکن است آن را به دولتی بفروشد یا در بازار سیاه عرضه کند، و سودش قطعاً از چند میلیون دلار بیشتر باشد.

    اپل با پرداخت پاداش قابل توجه، تلاش می‌کند انگیزه‌ی کسانی که چنین ضعف‌هایی را کشف می‌کنند، به جای فروش به خارجی‌ها، به گزارش دادن رسمی به خودِ اپل جلب شود. این کار مثل این است که شرکت خودش شکارچیان امنیتی را مأمور کند تا ضعف‌ها را پیش از سارقان بگیرند. این نوع از «قرارداد پیشگیری» در دنیای امنیت بسیار منطقی است.

    جذب استعدادها و ایجاد اکوسیستم امنیتی قوی

    برای هر شرکتی، داشتن جامعه‌ای از محققان امنیتی علاقه‌مند و وفادار یک سرمایه بزرگ است. وقتی بدانید اگر ضعف جدی‌ای کشف کنید، جایزه میلیون دلاری می‌گیرید، انگیزه پیدا می‌کنید که وقت و تلاش بسیاری بگذارید. این باعث می‌شود محققان برتر به سمت بررسی محصولات اپل بروند، نه صرفاً محصولات رقبای دیگر.

    علاوه بر این، وقتی اپل با شفافیت به محققان اجازه می‌دهد گزارش دهند، مکالمه و تعامل میان اپل و جامعه امنیتی بهتر می‌شود. اپل در وبلاگ امنیتی‌اش می‌گوید که می‌خواهد گزارشات را به شکلی شفاف‌تر و سریع‌تر بررسی کند و با محققان ارتباط داشته باشد.

    مقاله پیشنهادی: بهترین لپ تاپ های گیمینگ

    در دوره‌ای که هر نقص امنیتی ممکن است به یک رسوایی بزرگ تبدیل شود، اپل نمی‌تواند ریسک کند که کاربران فکر کنند دستگاه‌هایش ناامن‌اند. اگر یک آسیب‌پذیری مهم در آیفون یا مک‌ یافت شود و مورد سوء استفاده قرار بگیرد، ضربه بزرگی به برند خواهد خورد. قیمت آن از پرداخت پاداشِ میلیون دلاری هم سنگین‌تر است: ارزش اعتماد کاربران، رسانه‌ای شدن اخبار هک، شک و ترس عمومی.

    پس در مقابل این ریسک، اپل با پرداخت پاداش مادی، مثل بیمه رفتار می‌کند: اگر نقصی وجود دارد، زود کشف شود، سریع رفع شود، و خبری از سوء استفاده انبوه منتشر نشود.

    وسعت بسیار زیاد در اکوسیستم اپل

    اپل به بیش از ۲.۳۵ میلیارد دستگاه فعال در سراسر جهان اشاره می‌کند. این یعنی مخاطبان بالقوه آسیب‌پذیری‌ها فوق‌العاده بزرگ‌اند. اگر هکری بتواند با یک ضعف، طیف وسیعی از سیستم‌عامل‌ها و دستگاه‌ها را در معرض آسیب قرار دهد، خسارت‌ بزرگی می‌تواند ایجاد شود. بنابراین برای اپل منطقیست که به سطحی پرداخت کند که خبر «کشف ضعف» برای هکر صرفه‌ی مالی داشته باشد، زیرا هزینه‌ی پاک‌سازی، پاسخ‌دهی، جبران خسارت و از دست دادن اعتبار ممکن است بسیار بیشتر باشد.

    پیچیدگی روزافزون حملات و رقابت در نبرد امنیتی

    حملات پیچیده‌ای مانند «zero-click exploit chain» (یعنی حمله‌ای که بدون هیچ تماسی از کاربر اجرا می‌شود) نمونه‌هایی هستند که پیش‌تر توسط دولت‌ها یا شرکت‌های جاسوسی پیشرفته مورد توجه قرار گرفته‌اند. اپل می‌گوید که تنها حملات سطحی را نمی‌خواهد؛ این سطح جدید جایزه برای زنجیره‌ای از حملات کامل است که سطحی مشابه حملات جاسوسی دارد.

    نبرد امنیتی در دنیای فناوری امروز، شبیه مسابقه تسلیحاتی است: هر روز یکی ابزار جدید می‌سازد، دیگری باید مدافع جدید بسازد. اپل می‌خواهد در خط مقدم دفاع باشد. وقتی جایزه برای کشف ضعف بالا باشد، نبوغ محققان ترغیب می‌شود به سمت کشف ضعف‌های عمیق‌تر بروند، نه فقط راه‌های آسان.

    اپل با این اقدام می‌خواهد به کاربران و بازار نشان دهد که امنیت محصولاتش برایش مهم‌ترین اولویت است. وقتی شرکتی چنین مبلغی به هکرها می‌دهد، این پیام ضمنی را می‌فرستد: «نه تنها ما نفوذ را جدی می‌گیریم، بلکه حاضر هستیم هزینه گزافی بپردازیم تا دستگاه شما امن باشد.» این می‌تواند در جذب کاربران حساس به حریم خصوصی تأثیر مثبتی بگذارد.

    مقاله پیشنهادی: نحوه دستیابی به بهترین شماره‌ها با کمترین قیمت در مزایده سیم کارت همراه اول

     چالش‌ها و انتقادها

    طبیعتاً چنین تصمیمی بدون انتقاد نخواهد بود. در اینجا به برخی از چالش‌ها و دیدگاه‌های مخالف اشاره می‌کنیم:

    محدودیت در تحقق پاداش

    گزارش دادن یک نقص و تأیید آن با کیفیت فنی بالا، کاری بسیار دشوار است. بسیاری از گزارش‌ها ممکن است ناقص باشند، قابل بازتولید نباشند یا نتوانند واقعاً به آسیب منجر شوند. در نتیجه، تعداد معدودی از گزارش‌ها واقعاً به پاداش میلیون دلاری می‌رسند.

    تأخیر در بررسی و پرداخت

    برخی محققان انتقاد کرده‌اند که شرکت در بررسی گزارش‌ها کند عمل می‌کند یا در تعیین مبلغ پاداش شفافیت کافی ندارد. اگر پس از ماه‌ها بررسی، جایزه صادر نشود یا تبدیل به یک بحث پیچیده شود، انگیزه محققان آسیب می‌بیند. این موضوع در گذشته در تجربه برنامه‌های باج‌بانی شرکت‌ها مشاهده شده است.

    هزینه‌ی سنگین مالی برای شرکت

    اگرچه اپل توان پرداخت چنین مبالغی را دارد، اما اگر تعداد زیادی از گزارش‌ها واجد شرایط شوند، این هزینه ممکن است بالا باشد. البته اپل احتمالاً محاسبه کرده که هزینه‌های پیشگیری و اعتماد عمومی بسیار کمتر از هزینه‌ای است که در اثر یک حمله بزرگ ممکن است ببرد.

    احتمال سوء استفاده و رقابت نامناسب

    ممکن است برخی افراد در پی «کشف کردن گزارش» فقط برای گرفتن جایزه و نه برای بهبود امنیت، فعالیت کنند، یا ضعف‌هایی را گزارش دهند که پیش‌تر شناخته شده‌اند، یا گزارش‌هایی با کیفیت پایین ارائه دهند. بنابراین اپل نیاز به فرآیند فنی بسیار دقیق برای ارزیابی گزارش‌ها دارد.

    تأثیرات احتمالی و آینده

    اگر اپل بتواند برنامه خود را به خوبی اجرا کند، تأثیرات مثبتی را در حوزه امنیت و اعتماد کاربران شاهد خواهیم بود:

    • تعداد نقاط ضعف بحرانی در اکوسیستم اپل کاهش خواهد یافت.
    • محققان بیشتری به بررسی محصولات اپلی تشویق خواهند شد.
    • اپل جایگاه خود در رقابت امنیتی بازار را تقویت خواهد کرد.
    • احتمال آنکه بدافزارها یا حملات پیشرفته علیه دستگاه‌های اپل به موفقیت برسند کاهش می‌یابد.
    • از نظر تبلیغاتی و در اذهان عمومی، اپل خود را به عنوان پیش‌گام امنیت معرفی خواهد کرد.

    اما اگر در اجرا نواقص وجود داشته باشد؛ مثلاً تأخیر در پرداخت، عدم شفافیت، پاسخ ضعیف به گزارش‌ها ؛ ممکن است اثر عکس داشته باشد و جامعه امنیتی را مأیوس کند.

    مقاله پیشنهادی: نکاتی درباره اهمیت پاک‌ سازی لپ‌تاپ و دستگاه تلفن همراه

    نتیجه‌گیری

    وقتی اپل اعلام می‌کند که حاضر است ۲ میلیون دلار به هکرهای کلاه سفید بدهد، این تصمیم صرفاً یک حرکت تبلیغاتی یا نمایشی نیست؛ بلکه نمادی است از آنکه شرکت‌های بزرگ فناوری در مسیر رقابت جهانی، ناگزیرند به میدان امنیت وارد شوند و هزینه‌های شکست را پر بهای در نظر بگیرند.

    در پس پردهٔ این حرکت، چند انگیزه اساسی نهفته است: جلوگیری از فروش ضعف‌ها به دیگران، جذب نخبگان امنیتی، حفظ اعتماد عمومی، مقابله با حملات پیشرفته، و ارسال پیام اخلاقی به بازار و کاربران. اگر اجرایی‌اش درست انجام شود، می‌تواند الگویی برای بسیاری از شرکت‌های دیگر باشد.

    امتیاز این مطلب

    وب سایت هزاره، پایگاه اطلاع رسانی مناقصات و مزایدات

    جدیدترین اخبار و آگهی های مناقصات را درسایت هزاره ببینید

    مشاهده

    این مطلب را به اشتراک بگذارید:

    دیدگاهتان را بنویسید

    Leave a comment

    Leave a comment

    سایر مطالب در مجله هزاره

    فرم دریافت مناقصه و مزایده

    مشاوره رایگان جهت دریافت سرویس اطلاع رسانی مناقصه و مزایده





    تبلیغات در هزاره

    پیوندها

    پر بازدید

    مطالب پیشنهادی

    درباره مجله هزاره

    جدیدترین اخبار و مسائل حوزه مناقصات و مزایدات و همچنین نکات مربوط به برگزاری و شرکت در مناقصات و مزایدات را در مجله هزاره بخوانید.

    هزاره در شبکه های اجتماعی

    اینستاگرام
    لینکدین
    تلگرام

    مجوز ها

    © تمامی حقوق این وبسایت متعلق به شرکت ارتباط گستران هزاره می باشد. هرگونه استفاده از محتوای این سایت بدون اجازه این شرکت غیر مجاز بوده و پیگرد قانونی دارد.

    logo2

    اطلاع از جدیدترین آگهی‌های مناقصات و مزایدات

    شما می‌توانید برای دسترسی به جدیدترین آگهی‌های مناقصات، مزایدات و استعلام‌های منتشر شده در کشور، از طریق لینک زیر در سایت هزاره ثبت نام کرده و روزانه آگهی‌های مربوط به حوزه فعالیت خود را دریافت نمایید .‌‌‌

    ثبت نام در سایت هزاره