Program Bount Bug firmy Apple faworyzuje jakość ponad ilość

Po latach niechęci do płacenia badaczom za exploity, Apple podało się i jest gotów wypłacić do 200 000 USD za krytyczne luki znalezione w najnowszą wersję iOS i najnowszych iPhone'ów.

Apple ogłosiło program w czwartek na konferencji bezpieczeństwa Black Hat w Las Vegas. Rozpoczyna się we wrześniu i w przeciwieństwie do programów nagród prowadzonych przez inne duże firmy technologiczne, będzie można go zaprosić.

Program rozpocznie się od kilkudziesięciu badaczy wyselekcjonowanych przez Apple, chociaż każdy z zewnątrz, który zgłosi wadę, może otrzymać nagrodę i zostać zaproszonym do udziału w programie, powiedział Ivan Krstić, szef Apple Security Engineering and Architecture.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

"To nie ma być ekskluzywna - Apple powiedział, że jest gotów podwoić wypłaty dla naukowców, którzy przekazują nagrodę na cele charytatywne.

Rich Mogull, dyrektor generalny Securosis, firmy zajmującej się bezpieczeństwem informacji, zauważył, że programy nagród błędów mogą mieć wady, i powiedział, że nie jest to coś, co Apple musiał zrobić. Ale powiedział, że to dobry początek i coś, z czego Apple może czerpać korzyści.

Niektóre firmy "naprawdę nie chcą wdawać się w wojnę z rządami i dobrze finansowanymi organizacjami przestępczymi, z których niektóre są skłonne potencjalnie zapłacić do miliona dolarów za niektóre exploity ", powiedział Mogull w poście na blogu.

Publiczne programy nagród za brzęczenie mogą również powodować wiele hałasu w postaci raportów o niskiej jakości, które niekoniecznie prowadzą do poprawek, ale to wciąż zużywają zasoby inżynieryjne do zbadania, powiedział.

Mogull wierzy, że program Apple koncentruje się na jakości nad ilością i ma jasny cel: znaleźć użyteczne błędy w kluczowych obszarach iOS, które są uważane za wysoki priorytet. Zmusza także badaczy do udowodnienia wpływu wszelkich wad, które znaleźli, dzięki działającym exploitom o charakterze proof-of-concept. To trudniejsze niż zgłaszanie błędów, które mogą być krytyczne i pozostawienie ich w dochodzeniu firmy.

Apple zapłaci nawet 200 000 $ za krytyczne błędy w bezpiecznych składnikach oprogramowania rozruchowego, do 100 000 $ za exploity, które mogą wyodrębnić poufne materiały z Bezpiecznego Enclave Processor - bezpieczny chip, który wykonuje operacje kryptograficzne w iPhone 5s i nowszych, 50 000 USD za błędy, które mogą skutkować arbitralnym wykonaniem kodu z uprawnieniami jądra, 50 000 USD za sposoby uzyskiwania dostępu do danych konta iCloud na serwerach Apple bez autoryzacji i 25 000 USD za luki w zabezpieczeniach zapewnia dostęp od wewnątrz procesu sandbox do danych użytkownika poza tym obszarem izolowanym.

Ta struktura nagród odzwierciedla trudność znalezienia każdego z pięciu rodzajów wad, powiedział Krstić.

Apple nie zawsze miał najlepsze relacje z wspólnota bezpieczeństwa. Podczas gdy wielu badaczy uznaje solidne bezpieczeństwo produktów Apple, często jest krytykowane za sposób, w jaki komunikuje się o kwestiach bezpieczeństwa lub za mało komunikowania się. Apple jest także jedną z ostatnich dużych firm, które wprowadziły program nagród bezpieczeństwa.

Luki w zabezpieczeniach, które mogą całkowicie narazić na szwank polecenia iOS, stanowią jedne z najwyższych cen na szarym rynku. Kiedy wyszedł iOS 9, jeden broker exploitów, który liczy agencje rządowe wśród swoich klientów, zaoferował milion dolarów za przeglądarkę opartą na jailbreaku - exploita, który może uzyskać rootowy dostęp do iOS po prostu odwiedzając stronę internetową. FBI wykupiło także exploit od hackerów, aby uzyskać dostęp do danych na zamkniętym iPhone'ie Syeda Farooka, jednego z strzelców z San Bernardino.

Zapytany przez publiczność w Black Hat, dlaczego Apple tak długo czekał na nagrodę program, Krstić powiedział, że firma słyszała od naukowców, że znajdowanie krytycznych luk jest coraz trudniejsze, i chciał nagradzać tych, którzy poświęcają na to czas.