Apple Apple Meluncurkan Program Bug Bounty di Black Hat USA 2016

Apple akhirnya memiliki program karunia bug.

Kepala rekayasa dan arsitektur keamanan perusahaan, Ivan Krstic, mengumumkan program khusus undangan selama penampilan publik yang langka di konvensi peretas Black Hat USA 2016 di Las Vegas pada malam 4 Agustus.

Krstic, yang timnya bertanggung jawab atas keamanan end-to-end semua produk Apple, mengatakan perusahaan akan membayar hingga $ 200.000 untuk bug yang diidentifikasi selama presentasinya pada hari Kamis yang disebut "Di Balik Layar Keamanan iOS."

Kompensasi tergantung pada hack: mengakses data aplikasi sandbox bernilai hingga $ 25.000 sementara kompromi komponen firmware boot aman dapat menjaring maksimum $ 200.000.

Menghargai peretas karena mengungkapkan kerentanan keamanan alih-alih mengeksploitasi mereka secara diam-diam menjadi semakin umum - setiap orang dari Uber hingga Pentagon melakukannya.

Pergeseran Apple dari mengandalkan niat baik peneliti untuk menawarkan hadiah untuk pengungkapan bug kemungkinan dimotivasi oleh peretasan iPhone 5c yang terhubung dengan penembakan San Bernardino tahun 2015. Masyarakat tahu sedikit tentang peretasan dan apakah masih bisa digunakan untuk memecahkan ke dalam iPhone.

Peserta Black Hat, Robert McCarthy Tweeted:

Hadirin: "Berapa masalah FBI memengaruhi posisi Anda?"

Ivan Krstic: “Saya seorang insinyur di sini untuk menjawab pertanyaan teknis”

Bahkan FBI, yang membayar pihak ketiga yang masih tidak dikenal untuk meretas iPhone ketika Apple menolak untuk membantu dalam kasus ini, tidak tahu bagaimana perangkat itu dikompromikan. Bahkan mungkin tidak tahu berapa sebenarnya biaya peretasan, karena direktur FBI James Comey mengklaim bahwa biayanya sekitar $ 1,3 juta dibantah oleh laporan-laporan kemudian yang menyatakan bahwa biayanya sebenarnya kurang dari $ 1 juta.

Ambiguitas itu bahkan lebih memprihatinkan karena FBI tidak menemukan apa pun di perangkat. Ini berarti salah satu lembaga penegak hukum terkemuka di dunia memberikan jumlah uang yang tidak diketahui kepada perusahaan yang tidak dikenal untuk melakukan peretasan yang tidak diketahui - dengan demikian membuktikan hal itu dapat dilakukan dan bahwa setiap orang dengan iPhone 5c dalam bahaya - tanpa mendapatkan imbalan apa pun.

Program karunia bug dapat memungkinkan Apple untuk menghilangkan beberapa variabel tersebut dan membuat produknya lebih aman. Namun anehnya program ini akan dimulai dengan beberapa lusin peneliti dan berkembang hanya dengan undangan. Inti dari program bug bounty biasanya untuk mendapatkan sebanyak mungkin orang untuk melihat-lihat berbagai fitur keamanan untuk melihat apa yang dapat mereka atasi.

Apple dilaporkan berencana untuk mengundang lebih banyak orang ke program seiring berjalannya waktu, dan untuk “mengundang” siapa saja yang melaporkan kerentanan serius melalui saluran lain, tetapi untuk saat ini tampaknya Apple hanya mencelupkan jari-jari kakinya ke dalam kumpulan karunia bug. Itu karakteristik perusahaan, yang sering berhati-hati, tetapi kemungkinan akan mengecewakan bagi siapa saja yang ingin bersaing untuk mendapatkan hadiah sesegera mungkin.

Namun, ini adalah kemajuan yang tidak diragukan untuk Apple. Begitu juga Krstic muncul di sebuah acara seperti Black Hat USA. Dikombinasikan dengan perubahan lain, seperti keputusan untuk tidak mengenkripsi kernel iOS 10, tampaknya warisan episode San Bernardino bisa menjadi Apple yang mau keluar dari bayang-bayang sehingga dapat membuat banyak orang yang menggunakan produknya sedikit lebih aman..