Apple lansează programul Bount Bounty la Black Hat SUA 2016

Apple are în cele din urmă un program de bug-uri.

Șeful departamentului de inginerie și arhitectură a securității, Ivan Krstic, a anunțat programul invitat doar în timpul unei apariții publice rare la convenția de hackeri Black Hat SUA 2016 din Las Vegas, în noaptea de 4 august.

Krstic, a cărui echipă gestionează responsabilitatea pentru securitatea end-to-end a tuturor produselor Apple, a declarat că compania va plăti până la 200.000 de dolari pentru bug-urile identificate în timpul prezentării sale joi, numită "Behind the Scenes of iOS Security".

Compensația depinde de hack: accesarea datelor din aplicațiile cu medii de tip sandbox este în valoare de până la 25.000 dolari, în timp ce compromiterea componentelor de firmware de boot securizate poate determina suma maximă de 200.000 USD.

Recompensarea hackerilor pentru dezvăluirea vulnerabilităților de securitate, în loc să le exploateze în secret, a devenit tot mai frecventă - fiecare dintre Uber și Pentagon face acest lucru.

Schimbarea Apple de a se baza pe bunăvoința cercetătorilor pentru a oferi o recompensă pentru dezvăluirile de erori este probabil motivată de hack-ul unui iPhone 5c conectat la filmarea din San Bernardino din 2015. Publicul nu știe prea multe despre hack-ul și dacă ar putea fi încă folosit pentru a rupe într-un iPhone.

Participantul la Black Hat Robert McCarthy Tweeted:

Public: "Cât de mult a influențat FBI poziția dvs.?"

Ivan Krstic: "Sunt un inginer aici pentru a răspunde la întrebările tehnice"

Chiar și FBI-ul, care a plătit o terță parte încă necunoscută pentru a hack iPhone, când Apple a refuzat să ajute în cazul, nu știe cum a fost compromis dispozitivul. S-ar putea ca nici măcar să nu știm cât de mult costă hack-ul, deoarece declarația directorului FBI, James Comey, potrivit căreia costul a fost de aproximativ 1,3 milioane de dolari, a fost respinsă de rapoarte ulterioare care au susținut că costă mai puțin de 1 milion de dolari.

Această ambiguitate este cu atât mai importantă, pentru că FBI nu a găsit nimic pe dispozitiv. Aceasta înseamnă că una dintre cele mai importante agenții de aplicare a legii din lume a dat o sumă necunoscută unei companii necunoscute pentru a efectua o hacking necunoscută - dovedind astfel că ar putea fi făcută și că toți cei cu un iPhone 5c sunt în pericol - fără a obține nimic în schimb.

Un program de recompense de bug-uri ar putea permite Apple să elimine unele dintre aceste variabile și să-și facă produsele mai sigure. Cu toate acestea, este ciudat ca programul va incepe cu cateva zeci de cercetatori si se va extinde doar prin invitatie. Punctul unui program de bounty de bug-uri este, de obicei, acela de a obtine cat mai multi oameni pentru a-si strange diferitele caracteristici de securitate pentru a vedea ce pot lucra in jurul lor.

Apple intenționează să invite mai mulți oameni la program în timp și să "invite" pe oricine raportează o vulnerabilitate serioasă prin alte canale, dar pentru moment se pare că Apple își înmoaie picioarele doar în piscina de recompense de bug-uri. Aceasta este caracteristică companiei, care este adesea prudentă, dar va fi probabil descurajantă pentru oricine dorește să obțină recompense cât mai curând posibil.

Totuși, acest lucru este un progres inconfundabil pentru Apple. La fel a apărut Krstic la un eveniment ca Black Hat SUA, în primul rând. Combinat cu alte modificări, cum ar fi decizia de a nu cripta kernelul iOS 10, se pare că moștenirea episodului San Bernardino ar putea fi un Apple care dorește să iasă din umbre, astfel încât să poată menține mulți oameni care își folosesc produsele într-un mod mai sigur.