Apple Apple spúšťa program Bug Bounty na Black Hat USA 2016

Apple konečne má bug odmenu program.

Vedúci bezpečnostného inžinierstva a architektúry spoločnosti, Ivan Krstic, oznámil pozvanie-jediný program počas vzácneho verejného vystúpenia na hackerskom kongrese Black Hat USA 2016 v Las Vegas v noci 4. augusta.

Krstic, ktorého tím je zodpovedný za end-to-end bezpečnosť všetkých produktov spoločnosti Apple, povedal, že spoločnosť zaplatí až 200 000 dolárov za chyby identifikované počas jeho prezentácie vo štvrtok s názvom „Za scénami iOS Security“.

Kompenzácia závisí od hacku: prístup k údajom aplikácie sandboxed má hodnotu až 25 000 USD, pričom kompromitovanie komponentov zabezpečeného zavádzacieho firmvéru môže dosiahnuť maximálne 200 000 USD.

Odmeňovanie hackerov za odhalenie bezpečnostných chýb namiesto ich tajného vykorisťovania je čoraz bežnejšie - každý z Ubera do Pentagonu to robí.

Presun spoločnosti Apple od spoliehania sa na dobrú vôľu výskumníkov, že ponúka odmenu za zverejňovanie chýb, je pravdepodobne motivovaný hackom iPhone 5c, ktorý je spojený so streľbou zo San Bernardina v roku 2015. Verejnosť vie málo o hacke a či ho ešte možno použiť na rozbitie do iPhone.

Účastník Black Hat Robert McCarthy tweeted:

divákov: "Do akej miery ovplyvnil FBI vašu pozíciu?"

Ivan Krstic: „Som inžinier, aby som odpovedal na technické otázky“

Dokonca aj FBI, ktorá zaplatila stále neznámej tretej strane, aby zasekla iPhone, keď Apple odmietol pomôcť v prípade, nevie, ako bolo zariadenie ohrozené. Možno ani nevie, koľko hack skutočne stojí, pretože tvrdenie režiséra FBI Jamesa Comeyho, že to stálo okolo 1,3 milióna dolárov, bolo vyvrátené neskoršími správami, ktoré tvrdili, že v skutočnosti stoja menej ako 1 milión dolárov.

Táto nejednoznačnosť je ešte dôležitejšia, pretože FBI na prístroji nič nenašla. To znamená, že jeden z popredných orgánov činných v trestnom konaní na svete dal neznámej spoločnosti neznáme množstvo peňazí, aby mohol vykonať neznámy hack - čím dokázal, že by sa to dalo urobiť a že každý, kto má iPhone 5c, je ohrozený - bez toho, aby dostal čokoľvek na oplátku.

Program bug bounty by mohol spoločnosti Apple umožniť odstrániť niektoré z týchto premenných a zvýšiť bezpečnosť produktov. Je však zvláštne, že program začne s niekoľkými desiatkami výskumníkov a rozšíri sa len o pozvanie. Zmyslom programu bug bounty je zvyčajne získať čo najviac ľudí, aby sa obišli rôznymi bezpečnostnými funkciami, aby videli, čo sú schopní pracovať.

Apple údajne plánuje pozvať viac ľudí do programu, ako plynie čas, a „pozvať“ každého, kto ohlási vážnu zraniteľnosť prostredníctvom iných kanálov, ale teraz sa zdá, že Apple len ponára svoje prsty do fondu štipendií. To je charakteristické pre spoločnosť, ktorá je často opatrná, ale pravdepodobne bude skľučujúca pre každého, kto by chcel o odmenu čo najskôr bojovať.

Pre Apple je to však nepochybný pokrok. Krstic sa objavil na podujatí ako Black Hat USA na prvom mieste. V kombinácii s ďalšími zmenami, ako je rozhodnutie nešifrovať jadro iOS 10, sa zdá, že odkazom na epizódu San Bernardino by mohlo byť Apple, ktorý je ochotný vystúpiť z tieňov, aby mohol udržať množstvo ľudí, ktorí používajú jeho produkty, o niečo bezpečnejšie,