אפל משיקה את פרס האבטחה הראשון שלה. החדשות מגיעות בעקבות מצגת של איבן קרסטיק מאפל בכנס האבטחה השנתי של Black Hat USA בלאס וגאס.
Krstic מנהלת הנדסת אבטחה וארכיטקטורה באפל והציגה מבט מעמיק על אבטחת iOS. זו הייתה ההופעה הראשונה של אפל ב-Black Hat מזה ארבע שנים.
מאז שלהקרב עם ה-FBIבאביב הזה, אפל התמקדה יותר כלפי חוץ בדיון שלהמחויבות לביטחון. לשם כך, אפל פותחת את תוכנית האבטחה הראשונה שלה. התוכנית, שתצא בספטמבר, תקבל הגשות אבטחה במספר תחומים. בהתאם לסוג הניצול שנמצא, החוקרים והארגונים שלהם יקבלו יותר כסף.
הקטגוריות והנושאים העומדים לבחינה, יחד עם יתרונותיהם, הם כדלקמן:
רכיבי קושחת אתחול מאובטח - עד $200,000.
חילוץ של חומר סודי המוגן על ידי מעבד ה-Secure Enclave - עד 100,000 $.
ביצוע קוד שרירותי עם הרשאות ליבה - עד $50,000.
גישה לא מורשית לנתוני חשבון iCloud בשרתי אפל - עד 50,000 $.
גישה לתהליכים בארגז חול לנתוני משתמשים מחוץ לארגז החול - עד $25,000.
ארגונים יכולים לקבל את הכסף שמציעה אפל או שהם יכולים לתרום אותו לארגון צדקה לפי בחירתם. אפל אומרת שאם חוקרים יבחרו לתרום לארגון צדקה, הם ישקלו להתאים את התרומה הזו.
אפל אומרת לי היא עשויה גם להעניק פרס לחוקרים החולקים פגיעויות קריטיות משמעותיות שלא פורטו לעיל.
שלא כמו הרבה תוכניות אבטחה, תוכנית זו היאלֹאפתוח לציבור. לעת עתה, אפל משתפת פעולה עם תריסר חוקרי אבטחה וארגונים כדי להתמקד באיתור פגמים.
מהירות אור ניתנת לריסוק
אבל אפל אומרת לי שזה לא ניסיון להיות בלעדי. התוכנית היא לפתוח אותו לעוד אנשים וארגונים לאורך זמן. אפל גם אומרת שאם מישהו שאינו משויך לארגון מוזמן חושף באחריות פגיעות, המשוב הזה יתקבל בברכה וייתכן שהוא יוזמן להצטרף לתהליך הרשמי.
אפל אומרת שהיא דיברה עם מספר חברות אחרות שכבר הפעילו פרס אבטחה מוצלח ושהעצה - שהייתה להתחיל בקטן (כמו להפחית את יחס האות/רעש) ואז להגביר - תרמה להחלטה לערב רק מעט ארגונים וחוקרים בהתחלה.
הרבה זמן מגיע
למרות שזה נהדר שאפל מציגה פרס אבטחה, ראוי לציין שהחברה לקחה את הזמן להגיע לכאן. כמעט כל חברת טכנולוגיה גדולה אחרת - כולל מיקרוסופט, גוגל ופייסבוק - הציעו פרס אבטחה במשך שנים.
אז מה לקח כל כך הרבה זמן?
אפל מספרת לי שלמרות שהיא עובדת עם חוקרים מבחוץ כבר שנים, היא קיבלה באופן עקבי משוב - ממומחים בתוך החברה ומחוצה לה - שקשה יותר לזהות פרצות אבטחה משמעותיות ללא תוכנית פרס.
כתוצאה מכך, הגיוני שהחברה תפנה (סוף סוף!) לארגונים וחוקרים חיצוניים כדי להציע משוב משלהם.
זה כנראה לא מזיק שהפוקוס על האבטחה של אפל כעת נוקב יותר מאי פעם. עם יותר עיניים על אבטחת אפל - ויותר אנשים מנסים לעקוף אותה (בין אם מדובר ברשויות אכיפת חוק או האקרים), הגיוני להתמקד יותר במציאת פגמים.
אני מבין את הצורך להגביל - לפחות בהתחלה - את המעורבות בתוכנית הבאונטי, אבל אני מקווה שאפל תתחייב להרחיב את האנשים והקבוצות המעורבים במהירות. iOS כפלטפורמה ראויה לכמה שיותר עיניים עליהן.
לעת עתה, המיקוד של הבאונטי הוא על iOS, אך אפל אומרת שהיא פתוחה להרחיב את תוכנית הבאונטי לפלטפורמות אחרות (כולל macOS) ואזורים אחרים, לאחר שהתוכנית תתגבר.
יש לך מה להוסיף לסיפור הזה? שתפו אותו בתגובות.
