Teknoloji devi Apple, bilgisayar korsanları için ana odağı şirketin Özel Bulut Bilişim (PCC) sunucularının korunması olan yeni bir güvenlik araştırması mücadelesini duyurdu. Şirket, Apple’ın PCC sunucularını hackleyebilirseniz 1 milyon dolara kadar kazanabileceğinizi duyurdu.
Peki bir şirket neden birisinin sunucularını hackleme potansiyeline sahip olması için para ödesin ki? Bu, teknoloji devlerinin güvenlik sistemlerini test etmek için oldukça yaygın bir hamlesidir. Apple, PCC sunucularını korumaya çalışıyor çünkü yeni yapay zeka sistemi Apple Intelligence’a gelen isteklerin işlenmesinden onlar sorumlu olacak.
Apple Security Bounty, Apple sistemlerini hacklemeniz karşılığında size ödeme yapan program
Teknoloji devleri Apple, bunu sistemlerine yönelik siber saldırılar için bir teşvik olarak görmüyor. Bunun yerine Apple, bunu bireylerin kendi sistemleri üzerinde araştırma yapması için bir fırsat olarak görüyor. Bu nedenle Apple, bilgisayar korsanlarına yönelik güvenlik açıkları için “ÇKP’nin temel güvenlik ve gizlilik garantilerinden ödün verildiğini gösteren” “ödüller” oluşturmaya karar verdi.
Apple, PCC ödül kategorilerini sunucularının en hassas alanlarına odaklayacağından, şirket bilgisayar korsanlarının aramalarına rehberlik etmesi için bir katman oluşturdu.
Apple’a göre, bilgisayar korsanlarının kazara veri ifşası, kullanıcı taleplerinden kaynaklanan harici riskler ve fiziksel veya dahili erişimdeki güvenlik açıklarını aramaları teşvik ediliyor.
Başka bir deyişle, ödül iki ana kategoriye ayrılıyor ve her birinin farklı bir “fiyatı” olan beş alt kategorisi var. Ancak Apple’a göre, eğer bir bilgisayar korsanı 1 milyon dolarlık ödülü kazanmayı hedefliyorsa, istenen verilere uzaktan saldırı düzenleyerek keyfi haklarla rastgele kod çalıştırması gerekecek.
Apple bonusunu kazanmak zor mu?
Bu terimlerin tümü kulağa son derece karmaşık geliyor ve dürüst olmak gerekirse öyleler. Ancak Apple’ın araştırmasının gerçekte neyle ilgili olduğunu anlamak için bu terimleri parçalara ayırabiliriz. Öncelikle talep edilen verilere uzaktan saldırının ne olduğunu açıklayarak başlayalım. Esasen bu, Apple sistemlerine fiziksel erişime sahip olmadan, Apple cihazları ile Apple sunucuları arasında gönderilen verilere müdahale etmeye çalışmak anlamına gelir.
İkinci terim keyfi kodların yürütülmesidir. Bu, potansiyel bir bilgisayar korsanının, Apple’ın sunucularını, Apple’ın çalıştırmak üzere tasarladığı kod yerine kendi koduyla çalıştırması gerektiği anlamına gelir.
Üstelik bir bilgisayar korsanının bu görevleri keyfi haklarla yerine getirmesi gerekecektir. Apple, uygulamalarının ve kodlarının neler yapabileceğini kontrol etmek için yetki adı verilen bir şeyi kullanır. Örneğin bir hak, siz uygulamayı kullanırken Instagram’ın kameranızı kullanmasına izin verebilir. Keyfi haklar, bilgisayar korsanlarının kısıtlı Apple verilerine ve hizmetlerine erişmek için kendi kodlarını kullanabileceği anlamına gelir.
Apple’ın milyon dolarlık ödülüne ulaşmak için mücadele etmek neredeyse imkansız. Apple’ın altyapısı birçok güvenlik katmanıyla tasarlanmıştır; bu da bilgisayar korsanlarının rastgele öğelerle rastgele kod yürütmesini neredeyse imkansız hale getirir.
Çoğu bilgisayar korsanı ve araştırmacı, bu tür sistemler üzerinde yıllarını harcıyor ve hâlâ Apple sistemlerini hacklemenin zor olduğunu düşünüyor. Dolayısıyla, bir Apple ürününe sahipseniz, Apple’ın donanımının, yazılımının ve sunucularının en son teknoloji güvenlikle korunduğunu ve sürekli güncellendiğini, dolayısıyla bunların neredeyse hacklenemez hale geldiğini bilmelisiniz.
