Apple Apple atklāj Bug Bounty programmu Black Hat USA 2016

Visbeidzot, Apple programmai ir kļūme.

Uzņēmuma drošības inženierijas un arhitektūras vadītājs Ivan Krstic paziņoja par ielūgumu programmu tikai retos publiskos pasākumos Black Hat USA 2016 hakeru konvencijā Lasvegasā, 4.augusta naktī.

Krstic, kura komanda pārvalda atbildību par visu Apple produktu drošību, sacīja, ka uzņēmums maksās līdz $ 200,000 par kļūdām, kas tika konstatētas viņa ceturtdienas prezentācijā, saukta par “iOS Security sižetu”.

Kompensācija ir atkarīga no hack: piekļūšana smilšu kastes lietotņu datiem ir vērtīga līdz pat $ 25,000, vienlaikus apdraudot drošu sāknēšanas programmaparatūras komponentu maksimālo vērtību.

Aizvien biežāk ir arvien biežāk apbalvoti hakeri, lai atklātu drošības ievainojamību, nevis slepeni tos izmantotu - visi no Uberas līdz Pentagonam to dara.

Apple pāreja no paļāvības uz pētnieku nemateriālo vērtību, piedāvājot atlīdzību par kļūdu atklāšanu, visticamāk, ir motivēta ar iPhone 5c, kas ir savienots ar 2015. gada San Bernardino šaušanu, kaprīzēm. Sabiedrība maz zina par hack un vai to joprojām varētu izmantot, lai pārtrauktu iPhone.

Black Hat dalībnieks Robert McCarthy Tweeted:

Auditorija: „Cik FBI jautājums ietekmēja jūsu stāvokli?”

Ivan Krstic: „Es esmu inženieris, lai atbildētu uz tehniskiem jautājumiem”

Pat FBI, kas maksāja vēl nezināmu trešo personu, lai iebrukt iPhone, kad Apple atteicās palīdzēt šajā gadījumā, nezina, kā ierīce tika apdraudēta. Iespējams, ka pat nezināt, cik lielā mērā maksā hack, jo FBI direktora Džeimsa Komeja apgalvojums, ka tas maksā aptuveni 1,3 miljonus ASV dolāru, tika atspēkots vēlākos ziņojumos, kuros apgalvots, ka tas faktiski maksā mazāk nekā 1 miljonu ASV dolāru.

Šī neskaidrība ir vēl vairāk saistīta ar to, ka FBI nav atradusi neko ierīcē. Tas nozīmē, ka viena no pasaules galvenajām tiesībaizsardzības iestādēm nezināmam uzņēmumam piešķīra nezināmu naudas summu, lai veiktu nezināmu kapāt - tādējādi pierādot, ka to var izdarīt, un ka ikvienam, kam ir iPhone 5c, draud risks - neko nesaņemot.

Bugu devība programma varētu ļaut Apple novērst dažus no šiem mainīgajiem lielumiem un padarīt savus produktus drošākus. Tomēr ir dīvaini, ka programma sāksies ar dažiem desmitiem pētnieku un paplašināsies tikai ar uzaicinājumu. Bībeles programmas mērķis parasti ir iegūt pēc iespējas vairāk cilvēku, lai tie varētu apiet dažādus drošības elementus, lai redzētu, ko viņi spēj strādāt apkārt.

Apple ziņo, ka plāno uzaicināt programmā vairāk cilvēku uz laiku, kā arī uzaicināt ikvienu, kurš ziņo par nopietnu neaizsargātību, izmantojot citus kanālus, bet tagad šķiet, ka Apple tikai iegremdē pirkstiem bugu bungu baseinā. Tas ir raksturīgs uzņēmumam, kas bieži ir piesardzīgs, taču, visticamāk, tas būs nepatīkams ikvienam, kurš vēlējās pēc iespējas ātrāk izmantot balvu.

Tomēr tas ir nepārprotams progress Apple. Tātad Krstic parādījās pasākumā, piemēram, Black Hat USA. Kopā ar citām izmaiņām, piemēram, lēmumu nešifrēt iOS 10 kodolu, šķiet, ka San Bernardino epizodes mantojums varētu būt Apple, kas ir gatavs iziet no ēnām, lai tas varētu saglabāt daudzus cilvēkus, kas izmanto savus produktus, mazliet drošāk.