Apple Apple Ilulunsad Bug Bounty Program sa Black Hat USA 2016

Sa wakas ay may bug bugbong programa sa Apple.

Ang pinuno ng seguridad sa engineering at arkitektura ng kumpanya, Ivan Krstic, ay nag-anunsyo ng programang mag-imbita sa isang bihirang pampublikong hitsura sa kombensyon ng Hacker ng Black Hat USA 2016 sa Las Vegas sa gabi ng Agosto 4.

Si Krstic, na ang namamahala sa koponan na responsable para sa end-to-end na seguridad ng lahat ng mga produkto ng Apple, ay nagsabi na ang kumpanya ay magbabayad ng hanggang $ 200,000 para sa mga bug na kinilala sa kanyang presentasyon noong Huwebes na tinatawag na "Behind the Scenes of iOS Security."

Ang kompensasyon ay depende sa hack: ang pag-access sa data ng sandboxed app ay nagkakahalaga ng hanggang $ 25,000 habang ang pag-kompromiso sa mga secure na firmware sa firmware ay maaaring magpalit ng maximum na $ 200,000.

Ang pagganti ng mga hacker para sa pagsisiwalat ng mga kahinaan sa seguridad sa halip na lihim na pagsasamantala sa kanila ay nagiging karaniwang karaniwan - ang lahat mula sa Uber hanggang sa Pentagon ay ginagawa ito.

Ang paglilipat ng Apple mula sa pag-asa sa tapat na mga mananaliksik upang mag-alay ng gantimpala para sa mga pagbubunyag ng bug ay malamang na motivated ng hack ng isang iPhone 5c na nakakonekta sa pagbaril ng San Bernardino ng 2015. Malaki ang alam ng publiko tungkol sa hack at kung maaari pa ring magamit sa isang iPhone.

Ang Black Hat attendee na si Robert McCarthy Tweeted:

Madla: "Magkano ang naimpluwensyang isyu ng FBI sa iyong posisyon?"

Ivan Krstic: "Ako ay isang engineer dito upang sagutin ang mga teknikal na katanungan"

Kahit na ang FBI, na nagbayad ng isang hindi pa natatagalan na third party na nag-hack sa iPhone nang tumanggi ang Apple na tumulong sa kaso, ay hindi alam kung paano nakompromiso ang aparato. Maaaring hindi ito alam kung magkano ang gastos ng hack, dahil ang claim ng FBI na si James Comey na nagkakahalaga ng humigit-kumulang $ 1.3 milyon ay pinabulaanan ng mga ulat sa ibang pagkakataon na inaangkin na ito ay talagang nagkakahalaga ng mas mababa sa $ 1 milyon.

Ang kalabuan na iyon ay higit pa tungkol sa dahil ang FBI ay hindi nakatagpo ng anumang bagay sa device. Nangangahulugan ito na ang isa sa nangunguna sa lahat na mga ahensya ng pagpapatupad ng batas ay nagbigay ng hindi kilalang halaga ng pera sa isang hindi kilalang kumpanya upang maisagawa ang isang hindi kilalang hack - sa gayon ay nagpapatunay na maaaring magawa ito at ang lahat ng may iPhone 5c ay nasa panganib - nang walang anumang ibalik.

Maaaring payagan ng isang programa ng bug bounty ang Apple upang alisin ang ilan sa mga variable na iyon at gawing mas ligtas ang mga produkto nito. Ngunit ito ay kakaiba na ang programa ay magsisimula sa ilang dosenang mga mananaliksik at palawakin sa pamamagitan ng imbitasyon lamang. Ang punto ng isang bug na programa ng bounty ay karaniwang upang makakuha ng maraming mga tao hangga't maaari upang sundutin sa paligid ng iba't-ibang mga tampok ng seguridad upang makita kung ano ang magagawa nila upang magtrabaho sa paligid.

Ang Apple ay nag-uulat na mag-imbita ng mas maraming mga tao sa programa habang lumalaki ang oras, at upang "anyayahan" ang sinumang nag-uulat ng isang seryosong kahinaan sa ibang mga channel, ngunit sa ngayon ay tila na ang Apple ay naglubog lamang sa mga daliri ng paa sa bug bounty pool. Iyan ang katangian ng kumpanya, na kadalasan ay maingat, ngunit malamang na magalit para sa sinumang nais na manindigan para sa mga gantimpala sa lalong madaling panahon.

Gayunpaman, ito ay hindi mapagkakatiwalaan na progreso para sa Apple. Kaya't lumitaw si Krstic sa isang kaganapan tulad ng Black Hat USA sa unang lugar. Kasama ang iba pang mga pagbabago, tulad ng desisyon na huwag i-encrypt ang iOS 10 na kernel, tila na ang legacy ng San Bernardino episode ay maaaring isang Apple na gustong lumabas sa mga anino upang mapapanatili nito ang maraming tao na gumagamit ng mga produkto nito ng kaunti mas ligtas.