Apple Apple zahajuje Bug Bounty Program na Black Hat USA 2016

Apple konečně má bug bounty program.

Vedoucí oddělení bezpečnostního inženýrství a architektury Ivan Krstic oznámil, že pozvánka bude probíhat během vzácného veřejného vystoupení na hackerském kongresu Black Hat USA 2016 v Las Vegas v noci 4. srpna.

Společnost Krstic, jejíž tým je zodpovědný za end-to-end zabezpečení všech produktů společnosti Apple, uvedla, že společnost zaplatí za chyby zjištěné během jeho prezentace ve čtvrtek s názvem „Za scénou iOS zabezpečení“ až 200 000 dolarů.

Kompenzace závisí na hacku: přístup k datům aplikace v karanténě je až 25 000 USD, zatímco kompromitace složek zabezpečeného zaváděcího firmwaru může dosáhnout maxima 200 000 USD.

Odměňování hackerů za odhalení bezpečnostních chyb místo jejich tajného vykořisťování je stále častější - každý z Uberu do Pentagonu tak činí.

Přechod společnosti Apple od spoléhání se na dobrou vůli výzkumníků, že nabízí odměnu za odhalení chyb, je pravděpodobně motivován hackem iPhone 5c, který je spojen se střelbou San Bernardino v roce 2015. Veřejnost o tomto hacku málo ví a zda by mohla být stále používána k rozbití do iPhone.

Účastník Black Hat Robert McCarthy Tweeted:

Publikum: "Jak moc FBI ovlivnila vaši pozici?"

Ivan Krstic: „Jsem technik, abych zodpověděl technické otázky“

Dokonce ani FBI, která zaplatila dosud neznámou třetí stranu, aby zasekla iPhone, když Apple odmítl v tomto případě pomoci, neví, jak bylo zařízení ohroženo. Možná ani neví, jak moc hack skutečně stojí, protože tvrzení ředitele FBI Jamese Comeyho, že to stálo kolem 1,3 milionu dolarů, bylo vyvráceno pozdějšími zprávami, které tvrdily, že to ve skutečnosti stálo méně než 1 milion dolarů.

Tato nejednoznačnost se ještě více týká toho, že FBI na přístroji nic nenašla. To znamená, že jeden z předních světových orgánů činných v trestním řízení dal neznámé firmě neznámé peníze na provedení neznámého hacku - což dokazuje, že by to mohlo být provedeno a že každý, kdo má iPhone 5c, je v ohrožení - aniž by za to dostal cokoliv.

Program bug bounty by mohl společnosti Apple umožnit odstranit některé z těchto proměnných a učinit své produkty bezpečnějšími. Je však divné, že program začne s několika desítkami výzkumníků a rozšíří se pouze o pozvání. Smyslem programu bug bounty je obvykle získat co nejvíce lidí, aby se vyhnuli různým bezpečnostním prvkům, aby zjistili, co jsou schopni pracovat.

Apple údajně plánuje pozvat více lidí do programu, jak čas pokračuje, a "pozvat" každého, kdo ohlásí závažnou zranitelnost prostřednictvím jiných kanálů, ale teď se zdá, že Apple jen ponořuje prsty do fondu nájemných odměn. To je charakteristické pro společnost, která je často obezřetná, ale bude pravděpodobně skličující pro každého, kdo chtěl o odměny usilovat co nejdříve.

Pro Apple je to však nepochybný pokrok. Na prvním místě se tak objevil Krstic, který se objevil na akci jako Black Hat USA. V kombinaci s dalšími změnami, jako je rozhodnutí nešifrovat jádro iOS 10, se zdá, že odkazem na epizodu San Bernardino by mohlo být Apple, který je ochoten vystoupit ze stínů, aby mohl udržet mnoho lidí, kteří používají jeho produkty, o něco bezpečnější..