Alfonso Maruccia

Anche Apple paga per la sicurezza

Cupertino annuncia l'intenzione di cominciare a ricompensare economicamente i cacciatori di bug: un programma inizialmente aperto solo a pochi eletti e che non manca di alimentare polemiche

Roma - Anche Apple avrà il suo programma di taglie per ricompensare i "bug hunter", vale a dire quei ricercatori di sicurezza specializzati nell'individuazione di vulnerabilità ad alto rischio (e quindi di alta "qualità") all'interno dell'ecosistema dell'hardware e del software progettato in quel di Cupertino.

Ad annunciarlo è stato Ivan Krstić, "capo" ingegnere della sicurezza di Apple, durante l'ultima conferenza Black Hat: è anche grazie al contributo e al feedback dei ricercatori esterni che oggi è più difficile trovare bug che ricadono nella categorie di rischi più pericolosi, ha dichiarato Krstic alla folla di ricercatori intervenuti.

Il nuovo programma di taglie verrà gestito in stile Cupertino, con un'apertura iniziale a inviti dedicata a "poche dozzine" di ricercatori selezionati che avranno il compito di analizzare la sicurezza di iOS, iCloud e compagnia e di spedire rapporti dettagliati al team di Krstic con tanto di codice proof-of-concept funzionante per l'exploit.
La ristretta cerchia degli "eletti" potrà contare su premi piuttosto ricchi, ai vertici del settore a seconda delle tipologie di falle individuate: una taglia massima di 200mila dollari andrà a chi scopre un bug nel meccanismo di boot del firmware degli iCosi, spetteranno 100mila dollari per la compromissione dei dati protetti dal processore sicuro di SEP, 50mila dollari andranno a chi riesce a eseguire codice arbitrario con privilegi da kernel su iOS oppure a effettuare un accesso non autorizzato a iCloud, 25mila dollari verranno infine riservati a chi accede ai dati degli utenti al di fuori di un processo eseguito in una sandbox protetta.

L'allineamento di Apple alle altre corporation IT nell'ambito della caccia ai bug è stato accolto in maniera calorosa dagli esperti intervenuti alla conferenza Black Hat, ma non manca chi sottolinea i rischi insiti alla mossa: il "bug hunting" con taglia non è necessariamente la soluzione a tutti i problemi di sicurezza, almeno non sempre, non tutti i ricercatori sono disposti a giocare secondo le regole - chiedendo magari il pagamento anticipato prima ancora di svelare i dettagli su un bug - e c'è il pericolo che Cupertino entri in una guerra commerciale con governi e cyber-criminali per cui le vulnerabilità più preziose possono valere anche milioni di dollari. La guerra, in questo caso, sarebbe persa in partenza e la sicurezza dell'ecosistema della Mela ne sarebbe danneggiata.

Alfonso Maruccia
Notizie collegate
7 Commenti alla Notizia Anche Apple paga per la sicurezza
Ordina
  • si, adesso mi faccio il culo 3 mesi a bucare l'icoso e poi lo dico a d apple che mi ricompensa con un piatto di lenticchie, ahahahahah
    non+autenticato
  • Quanto frutta una 0-day al mercato nero o sfruttandola direttamente?
    E quando pagano quei pezzenti della Apple per la comunicazione del medesimo bug?

    Non ci siamo, non ci saremo mai con questi programmi.
    Il problema ci sarà sempre.
    iRoby
    8804
  • la priorita' pagatoria pensata da papple (anche se ci vorrebbero maggiori dettagli sul programma di bug bounty) e' praticamente all'opposto di come l'avrebbe pensata un utente...

    $$ minimi a chi fa massexploiting di safari violando la sandbox, e massimi alla bootrom (tipicamente attaccabile solo se hai il tel in mano e la manna per i jailbreaker, aftermarket e fbi. del resto sappiamo che apple pensa che il tel sia suo e nessuno lo puo' toccare se non con un bastone... se l'ucraino invece succhia un po' di dati dagli utenti, non e' molto importante)
    non+autenticato
  • - Scritto da: bubba
    > la priorita' pagatoria pensata da papple (anche
    > se ci vorrebbero maggiori dettagli sul programma
    > di bug bounty) e' praticamente all'opposto di
    > come l'avrebbe pensata un
    > utente...
    >
    > $$ minimi a chi fa massexploiting di safari
    > violando la sandbox, e massimi alla bootrom
    > (tipicamente attaccabile solo se hai il tel in
    > mano e la manna per i jailbreaker, aftermarket e
    > fbi. del resto sappiamo che apple pensa che il
    > tel sia suo e nessuno lo puo' toccare se non con
    > un bastone... se l'ucraino invece succhia un po'
    > di dati dagli utenti, non e' molto
    > importante)

    In che senso "apple pensa che sia suo" ?

    L'iCoso e' di apple.
    Non e' una opinione, e' un dato di fatto.

    Apple lo accende, apple lo spegne, apple installa e disinstalla le cose, apple sa dov'e' e come viene usato.

    All'utente che lo ha pagato e' solo concesso di esibirlo e postare foto di gattini su fessbuk ogni tanto.
  • Sempre che Apple non ritenga che la foto del gattino non violi qualche copyright, altrimenti la cancella d'ufficio.

    Paghi qualcosa in più, ma in compenso hai la libertà di non dover scegliere! Rotola dal ridere
    non+autenticato
  • - Scritto da: panda rossa
    > - Scritto da: bubba
    > > la priorita' pagatoria pensata da papple
    > (anche
    > > se ci vorrebbero maggiori dettagli sul
    > programma
    > > di bug bounty) e' praticamente all'opposto di
    > > come l'avrebbe pensata un
    > > utente...
    > >
    > > $$ minimi a chi fa massexploiting di safari
    > > violando la sandbox, e massimi alla bootrom
    > > (tipicamente attaccabile solo se hai il tel
    > in
    > > mano e la manna per i jailbreaker,
    > aftermarket
    > e
    > > fbi. del resto sappiamo che apple pensa che
    > il
    > > tel sia suo e nessuno lo puo' toccare se non
    > con
    > > un bastone... se l'ucraino invece succhia un
    > po'
    > > di dati dagli utenti, non e' molto
    > > importante)
    >
    > In che senso "apple pensa che sia suo" ?
    >
    > L'iCoso e'
    >
    di
    > apple.
    > Non e' una opinione, e' un dato di fatto.
    nel senso che quella frase l'ho scritta io. Se l'avesse scritta papple sarebbe stato 'siccome il tel e' mio (ecc)'. C'e' uno sparuto? gruppo di persone che non vuole seguire la narrazione papple, e pensa che un iCoso sia buono SOLO se si puo' jailbrekkare, aprirlo senza inchinarsi al Signore ecc (ed e' cosa possibile, anche se papple ha messo sempre maggiori bastoni tra le ruote)

    PS: no, non ho un icosoCon la lingua fuori
    non+autenticato
  • pricia dover scendere dal piedistallo dove si era saliti solo con la fantasia, eh? Sorride
    non+autenticato