Apple Apple je predstavil program Bug Bounty na Black Hat USA 2016

Apple končno ima program za nagrado za napake.

Vodja oddelka za varnostni inženiring in arhitekturo, Ivan Krstič, je napovedal samo vabilo v okviru redke javne predstavitve na konvenciji Black Hat USA 2016 v Las Vegasu v noči 4. avgusta.

Krstic, ki je odgovoren za celovito varnost vseh izdelkov Apple, je dejal, da bo podjetje plačalo do 200.000 dolarjev za napake, ki so bile ugotovljene med njegovo predstavitvijo v četrtek, imenovano "Behind the Scene of iOS Security".

Odškodnina je odvisna od krampa: dostop do podatkov v aplikaciji v zbirki je vreden do 25.000 dolarjev, medtem ko lahko kompromitirajoče komponente strojne programske opreme za varno zagonsko mrežo znašajo največ 200.000 dolarjev.

Nagrajevanje hekerjev za razkrivanje varnostnih šibkih točk, namesto da bi jih skrivno izkoriščali, je postalo vse pogostejše - vsakdo od Uberja do Pentagona to počne.

Appleov premik od zanašanja na dobro voljo raziskovalcev do nagrajevanja za razkritje hroščev je verjetno posledica krampa iPhone 5c, ki je povezan s snemanjem v San Bernardinu leta 2015. Javnost malo ve o tem, ali se lahko zlomi in ali jo je še vedno mogoče uporabiti za prekinitev v iPhone.

Udeleženec Black Hat Robert McCarthy Tweeted:

Občinstvo: »Koliko je FBI vplivalo na vaš položaj?«

Ivan Krstic: "Tukaj sem inženir za odgovore na tehnična vprašanja"

Tudi FBI, ki je plačal še neznano tretjo osebo, da bi zlomil iPhone, ko je Apple zavrnil pomoč v primeru, ne ve, kako je bila naprava ogrožena. Mogoče sploh ne ve, koliko stane kramp, saj je trditev direktorja FBI Jamesa Comeyja, da je stala okoli 1,3 milijona dolarjev, zavrnjena v poznejših poročilih, ki so trdili, da je dejansko stala manj kot milijon dolarjev.

Ta dvoumnost je še bolj vprašljiva, ker FBI ni našel ničesar na napravi. To pomeni, da je eden izmed najpomembnejših organov kazenskega pregona na svetu neznanemu podjetju dal neznano količino denarja, da bi izvedel neznano kramp - kar je dokazalo, da je to mogoče in da so vsi, ki imajo iPhone 5c, v nevarnosti - ne da bi dobili ničesar v zameno.

Program za odkrivanje hroščev bi lahko Appleu omogočil odpravo nekaterih od teh spremenljivk in povečal varnost svojih izdelkov. Vendar je čudno, da se bo program začel z nekaj desetimi raziskovalci in razširil samo s povabilom. Namen programa Bount Bounty je ponavadi, da čim večjemu številu ljudi ponudimo različne varnostne funkcije, da vidijo, kaj lahko delajo.

Apple naj bi po načrtih povabil več ljudi k programu, tako da bo sčasoma »povabil« vsakogar, ki bo poročal o resni ranljivosti prek drugih kanalov, za zdaj pa se zdi, da Apple preprosto potaplja svoje prste v bazo za napake. To je značilno za podjetje, ki je pogosto previdno, toda verjetno bo razočarano za vsakogar, ki se je želel čim prej poigravati z nagradami.

Kljub temu je to za Apple jasen napredek. Tako se je Krstic pojavil na dogodku kot je Black Hat USA. V kombinaciji z drugimi spremembami, kot je odločitev, da ne šifriramo jedra iOS 10, se zdi, da je zapuščina epizode San Bernardina lahko Apple, ki je pripravljen izstopiti iz sence, tako da lahko veliko ljudi, ki uporabljajo svoje izdelke, malo varnejši..