Apple akhirnya memberi peneliti keamanan sesuatu yang mereka inginkan selama bertahun-tahun: hadiah bug macOS.
Raksasa teknologi itu, Kamis, mengatakan akan meluncurkan program karunia bug untuk memasukkan Mac dan MacBook, serta Apple TV dan Apple Watch, hampir tepat tiga tahun setelah debutnya meluncurkan program karunia bug untuk iOS.
Idenya sederhana: Anda menemukan kerentanan, Anda mengungkapkannya ke Apple, mereka memperbaikinya - dan sebagai imbalannya Anda mendapatkan pembayaran tunai. Program-program ini sangat populer di industri teknologi karena membantu mendanai peneliti keamanan dengan imbalan kelemahan keamanan serius yang dapat digunakan oleh aktor jahat, dan juga membantu mengisi kekosongan pencari bug yang menjual kerentanan mereka untuk mengeksploitasi broker, dan pada pasar gelap, yang mungkin menyalahgunakan kekurangan untuk melakukan pengawasan.
Namun Apple telah menyeret kakinya untuk meluncurkan hadiah bug ke jajaran komputernya. Beberapa peneliti keamanan menolak untuk melaporkan kelemahan keamanan kepada Apple karena tidak ada bug bug.
Pada konferensi Black Hat di Las Vegas, kepala teknik dan arsitektur keamanan Ivan Krstic mengumumkan program untuk berjalan bersama karunia bug iOS yang ada.
Patrick Wardle, seorang pakar keamanan dan peneliti keamanan utama di Jamf, mengatakan langkah itu adalah "tidak punya otak."
Wardle telah menemukan beberapa kerentanan keamanan utama dan menjatuhkan nol-hari - rincian kelemahan yang diterbitkan tanpa memungkinkan perusahaan untuk memperbaiki - mengutip kurangnya karunia bug macOS. Dia telah lama mengkritik Apple karena tidak memiliki bug bug, menuduh perusahaan meninggalkan kekosongan terbuka bagi peneliti keamanan untuk menjual kelemahan mereka untuk mengeksploitasi broker yang sering menggunakan kerentanan untuk alasan jahat.
"Memang, mereka mempekerjakan banyak peneliti berbakat dan profesional keamanan yang luar biasa - tetapi masih belum pernah benar-benar memiliki hubungan yang saling menguntungkan secara transparan dengan peneliti independen eksternal," kata Wardle.
"Tentu ini adalah kemenangan bagi Apple, tetapi pada akhirnya ini merupakan kemenangan besar bagi pengguna akhir Apple," tambahnya.
Apple mengatakan akan membuka program bounty bug-nya untuk semua peneliti dan meningkatkan ukuran bounty dari maksimum saat ini $ 200.000 per exploit menjadi $ 1 juta untuk serangan eksekusi kode kernel rantai nol tanpa klik dengan ketekunan - dengan kata lain, jika seorang penyerang dapat memperoleh kendali penuh atas telepon tanpa interaksi pengguna dan hanya dengan mengetahui nomor telepon target.
Apple juga mengatakan bahwa setiap peneliti yang menemukan kerentanan dalam pembuatan pra-rilis yang dilaporkan sebelum rilis umum akan memenuhi syarat untuk bonus hingga 50% di atas kategori kerentanan yang mereka temukan.
Program karunia bug akan tersedia untuk semua peneliti keamanan mulai akhir tahun ini.
Perusahaan juga mengonfirmasi laporan Forbes, yang diterbitkan awal pekan ini, mengatakan akan memberikan sejumlah "dev" iPhone kepada peneliti dan peretas keamanan tepercaya dan tepercaya di bawah Program Perangkat Penelitian Keamanan iOS yang baru. Perangkat ini adalah perangkat khusus yang memberikan para peretas akses yang lebih besar ke perangkat lunak dan sistem operasi yang mendasarinya untuk membantu mereka menemukan kerentanan yang biasanya dikunci dari peneliti keamanan lainnya - seperti secure shell.
Apple mengatakan bahwa pihaknya berharap memperluas program karunia bug akan mendorong lebih banyak peneliti untuk secara pribadi mengungkapkan kelemahan keamanan, yang akan membantu meningkatkan perlindungan pelanggannya.
0 komentar:
Posting Komentar