Anche Apple lancia il proprio programmi Bug bounty

Anche Apple lancia il proprio programmi Bug bounty

Sono ormai numerose le iniziative, da parte di aziende di informatica e proprietari di siti web, che offrono una ricompensa monetaria a chi sia in grado di segnalare bug gravi su app e siti web aziendali.L’importanza della sicurezza informatica per aziende così grosse, infatti, è diventata ormai all’ordine del giorno: all’uscita di iOS 9, ad esempio, è uscita fuori una falla (non pubblicamente disponibile) che, a quanto pare, il governo americano avrebbe acquistato per sbloccare l’iPhone di uno degli attentatori di San Bernardino.

Apple ha quindi puntato molto sulla prevenzione, e dopo molti altri (tra cui Pornhub) ha lanciato da qualche giorno un proprio bug bounty program: si offrono fino a 200 mila dollari a chiunque scopra falle di sicurezza nell’ultima versione di iOS. L’annuncio è stato fatto durante la conferenza Black Hat USA del 4 agosto di quest’anno da Ivan Krstić, direttore del Security Engineering and Architecture. Per politica aziendale Apple normalmente non discute pubblicamente, nè conferma o smentisce, problematiche di sicurezza sui propri sistemi, almeno fin quando non venga fatta un’analisi approfondita e non siano applicate eventuali patch.

Apple in questo caso offre:

  • fino a 25 mila dollari per eventuali violazio del sandbox del sistema operativo (un meccanismo di protezione, presente anche in altri sistemi operativi, finalizzato a limitare accessi impropri delle app ad aree riservate del sistema);
  • fino a 50 mila dollari per casi di esecuzione arbitraria di codice, o accessi non autorizzati ad iCloud (circostanza che sembrerebbe già avvenuta in un caso di qualche anno fa, noto giornalisticamente come fappening);
  • fino a 100 mila dollari per casi di violazione del Secure Enclave Processor, un tipo di co-processore presente nei modelli iPhone 5s, iPad Air, iPad Mini con Display Retina e iPad Mini, che prevede un meccanismo crittografico per la memoria e nella trasmissione di dati. Esso limita la possibilità di violazioni e fughe di informazioni riservate degli utenti.
  • fino a 200 mila dollari, infine, sono offerti per chi riesca a trovare errori critici di sicurezza all’interno delle componenti firmware.

Le segnalazioni possono avvenire soltanto su invito, almeno per il momento, e saranno progressivamente estese al pubblico: è la prima volta in assoluto, peraltro, che Apple fa una cosa del genere.

Le intenzioni e la strategia generale sono certamente buone, se non fosse per alcuni possibili effetti collaterali, tra cui il fatto che queste iniziative possono produrre numerose segnalazioni di poco conto, spinte da informatica a cui interessa esclusivamente guadagnare qualcosa senza badare alla qualità, che comunque vanno verificate o indagate, occupando così tempo e denaro della Apple. Inoltre i bug bounty program sembrano essere ormai al centro di un vero e proprio mercato, come dimostra la Exodus Intelligence, azienda di sicurezza informatica che ha lanciato – quasi contemporaneamente – un programma concorrente, sempre sul sistema operativo iOS, offrendo fino a 500 mila dollari. Lo scopo è chiaramente quello di spingere i ricercatori a segnalare a loro i bug, speculando così sul costo ed eventualmente provando a rivendere a loro volta la falla.

(fonte)

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.

Anche Apple lancia il proprio programmi Bug bounty

Sono ormai numerose le iniziative, da parte di aziende di …
[ 0 ] 0 utenti hanno votato questa pagina