لا أحد يريد الإبلاغ عن نقاط الضعف في Apple iPhone

لقطة شاشة للدراسة الاستقصائية التي أجراها جوناثان زديزارسكي ، وهو من الجيلبريك السابق ، وهو الآن متخصص في الأمن. انتقل مؤخرًا إلى العمل في Apple وحذف حساب Twitter الخاص به.

في أغسطس 2016 ، افتتحت شركة Apple برنامجًا لمكافأة الثغرات الموجودة . تعمل هذه البرامج منذ فترة طويلة مع جميع شركات تكنولوجيا المعلومات الكبيرة تقريبًا. لفترة طويلة قاومت دفع المكافآت لشركة Microsoft ، لكنها استسلمت في عام 2013 ، وأطلقت برامج Microsoft Bounty . ربما ظلت شركة آبل هي الأخيرة بين الشركات المصنعة للمنتجات الضخمة التي لا تدفع المتسللين ، لذلك تلقى المجتمع أخبارًا حول بداية دفع الأجور.

المشكلة الوحيدة هي أنه خلال العام الماضي لم نسمع عن حالة واحدة تلقى فيها شخص أموالًا من Apple. ربما يُمنعون ببساطة من التحدث عنه. أو ربما يفضلون بيع برمجيات إكسبلويت في السوق السوداء بسعر أعلى بكثير.

لماذا استمرت Apple في العمل ولم تطرح برنامج تعويضات الثغرات الأمنية لفترة طويلة؟ تم التعبير عن نسخته من قبل موظف سابق في الشركة ، عمل في قسم الأمن ، في تعليق من Motherboard : "لا تحب Apple الإفراج عن أشياء - بما في ذلك برنامج دفع الضعف - حتى تجلبها إلى الكمال. إنهم منشد الكمال ". أراد الموظف إبقاء اسمه غامضًا ، لأنه يخالف اتفاقية عدم الإفشاء (NDA).

في الواقع ، إذا كنت تحاول جعل المشروع مثاليًا - فهناك فرصة لعدم إطلاقه أبدًا.

ولكن بعد الفضيحة مع مكتب التحقيقات الفدرالي ، أصبح من الواضح أنه من المستحيل أن ننطلق أكثر. تذكر أنه بعد ذلك طالب مكتب التحقيقات الفدرالي لفترة طويلة أن تقوم Apple بتكسير نظام التشفير على هاتف الإرهابي ، لكن Apple رفضت القيام بذلك لحماية بقية مستخدميها من التنصت. في النهاية ، تعامل وكلاء مكتب التحقيقات الفدرالي مع المهمة دون مساعدة من Apple ، ودفعوا مقابل خدمات شركة قرصنة تابعة لجهة خارجية كانت تحت تصرفها استغلال 0 يوم لنظام iOS. دفعت وكالات المخابرات مبلغًا كبيرًا جدًا مقابل هذا الاستغلال. يفترض أكثر من 1.3 مليون دولار . كتبت صحيفة نيويورك تايمز بعد ذلك أن المتسللين لم يبلغوا شركة أبل بمعلومات عن خطأ في النظام لأنه لم يكن لديهم حافز للقيام بذلك. أعني ، لم يكن هناك حافز مالي - ثم لم تدفع Apple مقابل تقارير الثغرات الأمنية.

توصلت شركة يابلوكو إلى الاستنتاجات الصحيحة وأطلقت برنامج الحوافز المالية في أغسطس. صحيح ، لقد تصرفت هنا بطريقتها الخاصة ، وليس مثل أي شخص آخر. على الرغم من أن الإعلان عن البرنامج كان علنيًا ، إلا أن شركة آبل استمرت في التصرف سراً. شروط البرنامج غير متاحة للجمهور ، والمشاركة فيها ممكنة فقط عن طريق الدعوة.

نحن نعرف عن مقدار المكافآت من عرض رئيس قسم أمن Apple ، إيفان كرستيك. كما هو موضح في إحدى الشرائح ، يتم دفع المكافأة القصوى البالغة 200 ألف دولار لاختراق مكونات البرامج الثابتة للتشغيل الآمن. الحد الأدنى هو 25 ألف دولار للعملية ، مما يترك وضع الحماية والوصول إلى البيانات الشخصية للمستخدم.


شريحة من عرض إيفان كرستيك

ويعتقد أنه حتى 200 ألف دولار ليس مبلغًا مرتفعًا بما يكفي لـ 0 يوم لـ iOS. هذه المآثر نادرة جدًا ، لذلك في السوق السوداء تكون تكلفتها أعلى بكثير. على سبيل المثال ، بعد وقت قصير من تقديم Krstic ، رفعت Zerodium تسعيرها لشراء مآثر لنظام iOS. لذلك ، بالنسبة لأهم شيء - الهروب من السجن لنظام التشغيل iOS 10 ، فإنهم يدفعون بالفعل 1.5 مليون دولار بدلاً من 500 ألف دولار السابقة.


تسعير Zerodium الجديد

حسنًا ، أين تبيع الهروب من السجن - في Apple مقابل 200 ألف دولار أم في Zerodium مقابل 1.5 مليون دولار؟ ربما هذا سؤال بلاغي. سيشعر القليل من الناس بالحرج من أن Zerodium تتعاون مع الخدمات الخاصة ووكالات إنفاذ القانون من بلدان مختلفة ، ويمكن استخدام مآثرها للتجسس الحكومي وغيرها من الأشياء غير الجميلة.

بالمناسبة ، إنه بعيد كل البعد عن حقيقة أنه إذا رفعت شركة Apple أسعار استغلال إلى مستوى السوق الرمادي ، فإن هذا سيحل المشكلة. هنا ، يعمل الاقتصاد على النحو التالي. إذا رفعت Apple الأسعار ، فسيصبح 0day لنظام iOS أكثر ندرة - وسترتفع الأسعار في السوق الرمادية أكثر. أي أننا سنعود إلى حيث بدأنا. على الرغم من أن الأخطاء غير المغلقة بحكم الواقع ستكون أقل. بشكل عام ، هذا هو الهدف الرئيسي لبرامج مدفوعات الضعف.

في الوقت الحالي ، يمكن تقسيم مشتري ثغرات يوم 0 إلى ثلاث مجموعات:

1. التفاح نفسه.
2. الجريمة: المافيا والجماعات الإجرامية وما إلى ذلك.
3. اللاعبون الكبار ، بما في ذلك وكالات المخابرات الحكومية: وكالة الأمن القومي والموساد وجي آر يو وداعش (المحظورة في روسيا) وما إلى ذلك.

لدى Apple مخزون كبير من المال في البنوك. من خلال الشركات التابعة السرية ، جلبت إلى الخارج أكثر من 200 مليار دولار . يمكن استخدام هذا المال. يمكن لشركة Apple أن تزيد بسهولة مكافأة برامج استغلال الثغرات لدرجة أن الجريمة (المافيا ، الجماعات الإجرامية) لا يمكنها منافستها. لكنها لن تكون قادرة على التنافس مع وكالات المخابرات ، التي تكون مواردها غير محدودة تقريبًا ولا تقتصر على المال فقط. سيكون لدى هؤلاء الرجال دائمًا يوم 0 حصري تحت تصرفهم ، بغض النظر عما تفعله وما المكافآت التي تحددها لكشف نقاط الضعف.