Apple Apple lancia il programma Bug Bounty a Black Hat USA 2016

$config[ads_kvadrat] not found

JS Hacking - DOM XSS, Prototype pollution... | Bug bounty | CTF [Live]

JS Hacking - DOM XSS, Prototype pollution... | Bug bounty | CTF [Live]
Anonim

Apple ha finalmente un programma di bug bug.

Il responsabile della sicurezza e dell'architettura della compagnia, Ivan Krstic, ha annunciato il programma di invito solo durante una rara apparizione pubblica alla convention degli hacker Black Hat USA 2016 a Las Vegas nella notte del 4 agosto.

Krstic, il cui team è responsabile della sicurezza end-to-end di tutti i prodotti Apple, ha dichiarato che la società pagherà fino a $ 200.000 per i bug identificati durante la sua presentazione di giovedì intitolata "Dietro le quinte della sicurezza iOS".

La compensazione dipende dall'hack: l'accesso ai dati delle app sandboxed vale fino a $ 25.000, mentre la compromissione dei componenti del firmware di avvio sicuro può raggiungere il limite massimo di $ 200.000.

Ricompensare gli hacker per rivelare vulnerabilità di sicurezza invece di sfruttarli segretamente è diventato sempre più comune - lo fanno tutti, da Uber al Pentagono.

Il passaggio di Apple dal fare affidamento sulla buona volontà dei ricercatori a offrire una ricompensa per le rivelazioni dei bug è probabilmente motivato dall'hack di un iPhone 5c collegato alle riprese di San Bernardino del 2015. Il pubblico conosce poco sull'hack e se potrebbe ancora essere usato per rompere in un iPhone.

Il partecipante di Black Hat Robert McCarthy ha twittato:

Pubblico: "Quanto ha influito l'FBI sulla tua posizione?"

Ivan Krstic: "Sono un ingegnere qui per rispondere a domande tecniche"

Anche l'FBI, che ha pagato una terza parte ancora sconosciuta per hackerare l'iPhone quando Apple si è rifiutata di aiutare nel caso, non sa come il dispositivo è stato compromesso. Potrebbe anche non sapere quanto costasse veramente l'hack, come sostiene il regista dell'FBI James Comey, che costò circa $ 1,3 milioni è stato confutato da rapporti successivi che sostenevano che in realtà costa meno di $ 1 milione.

Questa ambiguità è ancora più preoccupante perché l'FBI non ha trovato nulla sul dispositivo. Ciò significa che una delle più importanti agenzie di contrasto del mondo ha dato una quantità sconosciuta di denaro a una società sconosciuta per eseguire un attacco sconosciuto, dimostrando così che potrebbe essere fatto e che tutti coloro che hanno un iPhone 5c sono a rischio, senza ottenere nulla in cambio.

Un programma di bug bug potrebbe consentire ad Apple di eliminare alcune di queste variabili e rendere i suoi prodotti più sicuri. Eppure è strano che il programma inizi con poche decine di ricercatori e si espanda solo su invito. Il punto di un programma di bug bug è di solito ottenere quante più persone possibile per attingere a varie funzionalità di sicurezza per vedere cosa sono in grado di aggirare.

Secondo quanto riferito, Apple prevede di invitare altre persone al programma con il passare del tempo, e di "invitare" chiunque segnali una grave vulnerabilità attraverso altri canali, ma per ora sembra che Apple stia semplicemente immergendo le dita nel pool di taglie del bug. Questo è caratteristico della compagnia, che è spesso cauta, ma sarà probabilmente scoraggiante per chiunque voglia gareggiare per i premi il prima possibile.

Eppure, questo è inconfondibile progresso per Apple. Quindi è stato Krstic ad apparire in un evento come Black Hat USA in primo luogo. In combinazione con altre modifiche, come la decisione di non crittografare il kernel di iOS 10, sembra che l'eredità dell'episodio di San Bernardino potrebbe essere una Apple che è pronta a uscire dall'ombra in modo che possa mantenere le molte persone che usano i suoi prodotti un po 'più sicuro.

$config[ads_kvadrat] not found