Anche Apple avrà il suo programma di taglie per ricompensare i “bug hunter”, vale a dire quei ricercatori di sicurezza specializzati nell’individuazione di vulnerabilità ad alto rischio (e quindi di alta “qualità”) all’interno dell’ecosistema dell’hardware e del software progettato in quel di Cupertino.
Ad annunciarlo è stato Ivan Krstić, “capo” ingegnere della sicurezza di Apple, durante l’ultima conferenza Black Hat: è anche grazie al contributo e al feedback dei ricercatori esterni che oggi è più difficile trovare bug che ricadono nella categorie di rischi più pericolosi, ha dichiarato Krstic alla folla di ricercatori intervenuti.
Il nuovo programma di taglie verrà gestito in stile Cupertino, con un’ apertura iniziale a inviti dedicata a “poche dozzine” di ricercatori selezionati che avranno il compito di analizzare la sicurezza di iOS, iCloud e compagnia e di spedire rapporti dettagliati al team di Krstic con tanto di codice proof-of-concept funzionante per l’exploit.
La ristretta cerchia degli “eletti” potrà contare su premi piuttosto ricchi , ai vertici del settore a seconda delle tipologie di falle individuate: una taglia massima di 200mila dollari andrà a chi scopre un bug nel meccanismo di boot del firmware degli iCosi , spetteranno 100mila dollari per la compromissione dei dati protetti dal processore sicuro di SEP, 50mila dollari andranno a chi riesce a eseguire codice arbitrario con privilegi da kernel su iOS oppure a effettuare un accesso non autorizzato a iCloud, 25mila dollari verranno infine riservati a chi accede ai dati degli utenti al di fuori di un processo eseguito in una sandbox protetta.
L’allineamento di Apple alle altre corporation IT nell’ambito della caccia ai bug è stato accolto in maniera calorosa dagli esperti intervenuti alla conferenza Black Hat, ma non manca chi sottolinea i rischi insiti alla mossa: il “bug hunting” con taglia non è necessariamente la soluzione a tutti i problemi di sicurezza, almeno non sempre , non tutti i ricercatori sono disposti a giocare secondo le regole – chiedendo magari il pagamento anticipato prima ancora di svelare i dettagli su un bug – e c’è il pericolo che Cupertino entri in una guerra commerciale con governi e cyber-criminali per cui le vulnerabilità più preziose possono valere anche milioni di dollari. La guerra, in questo caso, sarebbe persa in partenza e la sicurezza dell’ecosistema della Mela ne sarebbe danneggiata.
Alfonso Maruccia