Apple Apple uruchamia program Bug Bounty w Black Hat USA 2016

Apple ma wreszcie program nagród za błędy.

Szef działu inżynierii i architektury bezpieczeństwa, Ivan Krstic, ogłosił program „Tylko dla zaproszonych” podczas rzadkiego publicznego występu na kongresie hakerów Black Hat USA 2016 w Las Vegas w nocy 4 sierpnia.

Krstic, którego zespół zarządza odpowiedzialnością za kompleksowe bezpieczeństwo wszystkich produktów Apple, powiedział, że firma zapłaci do 200 000 USD za błędy zidentyfikowane podczas czwartkowej prezentacji „Behind the Scenes of iOS Security”.

Kompensacja zależy od włamania: dostęp do danych aplikacji w piaskownicy jest warty do 25 000 USD, podczas gdy narażenie na szwank składników oprogramowania układowego bezpiecznego rozruchu może wynieść maksymalnie 200 000 USD.

Nagradzanie hakerów za ujawnianie luk w zabezpieczeniach zamiast ich potajemnego wykorzystywania stało się coraz bardziej powszechne - robi to każdy od Ubera do Pentagonu.

Przesunięcie Apple z polegania na dobrej woli naukowców do zaoferowania nagrody za ujawnienie błędów jest prawdopodobnie motywowane włamaniem do iPhone'a 5c podłączonego do strzelaniny San Bernardino w 2015 r. Opinia publiczna niewiele wie o tym hacku i czy nadal można go wykorzystać do złamania do iPhone'a.

Uczestnik Black Hat Robert McCarthy Tweeted:

Publiczność: „Jak bardzo kwestia FBI wpłynęła na twoje stanowisko?”

Ivan Krstic: „Jestem inżynierem, który odpowiada na pytania techniczne”

Nawet FBI, które zapłaciło nieznanej stronie trzeciej za włamanie do iPhone'a, gdy Apple odmówił pomocy w tej sprawie, nie wie, w jaki sposób urządzenie zostało naruszone. Może nawet nie wiedzieć, ile naprawdę kosztuje hack, ponieważ twierdzenie dyrektora FBI Jamesa Comeya, że ​​kosztował około 1,3 miliona dolarów, zostało obalone w późniejszych raportach, które twierdziły, że faktycznie kosztuje mniej niż 1 milion dolarów.

Ta dwuznaczność jest jeszcze bardziej niepokojąca, ponieważ FBI nie znalazło niczego na urządzeniu. Oznacza to, że jeden z czołowych organów ścigania na świecie przekazał nieznaną kwotę nieznanej firmie, aby wykonać nieznany hack - udowadniając, że można to zrobić i że każdy z iPhone'em 5c jest zagrożony - nie otrzymując niczego w zamian.

Program nagród za błędy może pozwolić firmie Apple wyeliminować niektóre z tych zmiennych i zwiększyć bezpieczeństwo produktów. Dziwne jest jednak to, że program rozpocznie się od kilkudziesięciu badaczy i rozszerzy się tylko na zaproszenie. Punktem programu bounty błędów jest zazwyczaj zmobilizowanie jak największej liczby osób do obejrzenia różnych funkcji zabezpieczeń, aby zobaczyć, co mogą obejść.

Apple planuje zaprosić więcej osób do programu w miarę upływu czasu i „zapraszać” każdego, kto zgłasza poważną lukę za pośrednictwem innych kanałów, ale na razie wydaje się, że Apple po prostu zanurza palce w puli nagród błędów. Jest to charakterystyczne dla firmy, która często jest ostrożna, ale prawdopodobnie zniechęci do każdego, kto chciałby rywalizować o nagrody tak szybko, jak to możliwe.

Mimo to jest to wyraźny postęp dla Apple. Tak samo Krstic pojawił się na imprezie takiej jak Black Hat USA. W połączeniu z innymi zmianami, takimi jak decyzja o nieszyfrowaniu jądra systemu iOS 10, wydaje się, że dziedzictwem odcinka San Bernardino może być Apple, który chce wyjść z cienia, aby utrzymać wiele osób, które używają jego produktów trochę bezpieczniej.