На прошлой неделе хакеры выложили на сайт GitHub исходный код программы iBoot — основного компонента операционной системы iPhone, как сообщил портал Motherboard. iBoot отвечает за безопасную загрузку ОС, а Apple ранее объявила вознаграждение в размере $200 тыс. для тех, кто сможет найти уязвимости в программе. Что опять же, косвенно указывает на важность этого участка для компании из Купертино. Выложенный код предназначался для iOS 9, но некоторые его части могут использоваться и в iOS 11.

Специалист по операционным системам Apple Джонатан Левин назвал утечку крупнейшей в истории компании. Позже информация была удалена с GitHub. Но если что-то было залито в интернет и имело хоть какую-то ценность, то уже разошлось по самым глухим закоулкам Сети. Как это повлияет на компанию, и можно ли остановить утечки?

Во-первых, продажи iPhone составляют более половины доходов компании. Поэтому эти секреты должны охранять, по идее, особенно тщательно. Но и в целом Apple - настолько закрытая структура, что скорее напоминает мальтийский орден, нежели современную ИТ-компанию.

Купертиновцы, конечно, утверждали, что код старый, что в новых версиях ситуация иная, и что безопасность не пострадает. Но. Во-первых, само слово «безопасность» — это прежде всего процесс, а не результат. Поэтому говорить бы нужно с привязкой ко временным координатам и при этом «бежать впереди паровоза», если ты действительно хочешь создать безопасную экосистему. Во-вторых, текущий набор инструментов у корпораций для защиты своих экосистем и корпоративных систем не даёт стопроцентной гарантии. При всём могуществе и богатстве возможностей. А вот поди ж ты.

Что есть у современной компании, которая хочет сохранить тайны и сделать безопасную экосистему? Первое. Правильная платформа. Windows от Microsoft — это уже синоним слова «уязвимость». От версии к версии «Окна» тянут старые болячки в безопасности. Поэтому вопрос взлома ОС из Редмонда даже не стоит на повестке дня. Помню, как часть экспертов потирала руки, когда та же Vista и последующие версии пытались привязать к серверам компании, проверяли целостность, ставили изощрённые, казалось бы, защитные механизмы. И включалось русско-китайское «социалистическое» соревнование. Когда счёт шёл даже не на недели. А дни, когда будет полностью уничтожена и взломана защита от Microsoft.

В соревновании снаряда и брони всегда победит снаряд. Рано или поздно. Снизить риски можно, если изначально делать продукт на более защищённой платформе. Именно поэтому Mac OS X основана ровно на той же операционке, что и отечественные баллистические ракеты (это я про FreeBDS, не стоит думать буквально, что и там, и там один код, скорее - один предок). А уже из Mac OS X и выходит iOS. Но даже в таком случае уязвимости будут появляться. Как их получить и исправить ранее, чем они попадут на чёрный рынок к киберпреступникам?

Фото: www.globallookpress.com

Есть второй пункт. Оплата за найденные уязвимости. Вот эти 200 тысяч долларов за несколько строк кода и есть хрестоматийный пример того, как компании платят тем, кто исследует их продукты и находит уязвимости. От разовых выплат до переманивания на зарплату: у гигантских корпораций всегда найдётся предложение, которое они смогут перебить у киберпреступников. И так делают все. Google, Microsoft, Oracle, Apple, Cisco. Буквально все крупные игроки таким образом поощряют взлом своих экосистем. В обмен на деньги, разумеется. И с оплатой только за результат, что очень удобно для корпораций.

Ну а третий пункт - тот, которым отлично овладела Apple, но даже он её не спас. Закрытость. В идеале тотальная закрытость от внешнего мира в разработке своих продуктов. Когда не видишь промежуточного результата, не видишь людей, которые стоят за огромной работой, то сложнее атаковать разработчиков. Но даже это не спасло iPhone 4 от кражи. Помните, как его забыли в баре?

И даже комбинация всех трёх пунктов не даст стопроцентной защиты. Утечки будут происходить. Это ведь не причина ими не заниматься. Но достаточно посчитать, как просели в торговле акции Apple после негативных событий. Миллиарды и миллиарды долларов. Вот цена негативной информации для компании. Любая утечка, любой взлом приводят к серьёзнейшим финансовым потерям. Не говоря уже о репутационных. Именно поэтому будет продолжаться противостояние снаряда и брони. Без особого успеха, впрочем, для последней.