Screenshot der Umfrage von Jonathan Zdzyarski, einem ehemaligen Jailbreak und jetzt Sicherheitsspezialisten. Kürzlich wechselte er zu Apple und löschte seinen Twitter-Account.Im August 2016 startete Apple ein
Belohnungsprogramm für gefundene Sicherheitslücken . Solche Programme funktionieren seit langem bei fast allen großen IT-Unternehmen. Lange Zeit widersetzte sie sich der Zahlung von Vergütungen an Microsoft, gab jedoch 2013 auf und startete
Microsoft Bounty Programs . Vielleicht blieb Apple der letzte unter den Massenproduktherstellern, die keine Hacker bezahlen, und so wurde die Nachricht über den Beginn der Zahlung der Vergütung von der Community positiv aufgenommen.
Das einzige Problem ist, dass wir im letzten Jahr keinen
einzigen Fall gehört haben , in dem jemand Geld von Apple erhalten hat. Vielleicht ist es ihnen einfach verboten, darüber zu sprechen. Oder vielleicht bevorzugen sie es, Exploits auf dem Schwarzmarkt zu einem viel höheren Preis zu verkaufen.
Warum hat Apple so lange kein Auszahlungsprogramm für Sicherheitslücken eingeführt? Seine Version wurde von einem ehemaligen Mitarbeiter des Unternehmens, der in der Sicherheitsabteilung tätig war, in einem
Kommentar von Motherboard zum Ausdruck gebracht: „Apple veröffentlicht Dinge - einschließlich eines Programms zur Zahlung von Sicherheitslücken - erst dann, wenn sie perfekt sind. Sie sind Perfektionisten. “ Der Mitarbeiter wollte seinen Namen im Dunkeln halten, weil er gegen die Geheimhaltungsvereinbarung (NDA) verstößt.
Wenn Sie versuchen, das Projekt zum Ideal zu bringen, besteht die Möglichkeit, dass Sie es niemals veröffentlichen.
Aber nach dem Skandal mit dem FBI wurde klar, dass es unmöglich war, weiter zu ziehen. Erinnern Sie sich daran, dass das FBI damals lange Zeit verlangt hat, dass Apple das Verschlüsselungssystem auf dem Telefon des Terroristen knackt, aber Apple hat sich geweigert, dies zu tun, um den Rest seiner Benutzer vor Abhören zu schützen. Am Ende bewältigten die FBI-Agenten die Aufgabe ohne die Hilfe von Apple und bezahlten die Dienste eines Drittanbieter-Hacker-Unternehmens, das über einen 0-Tage-Exploit für iOS verfügte. Geheimdienste zahlten eine sehr große Summe für diesen Exploit. Vermutlich
mehr als 1,3 Millionen US-Dollar .
Die New York Times schrieb daraufhin
, dass Hacker Apple keine Informationen über einen Fehler im System gemeldet hätten, weil sie keinen Anreiz dazu hätten. Ich meine, es gab keinen finanziellen Anreiz - Apple hat damals nicht für Berichte über Schwachstellen bezahlt.
Das Unternehmen Yabloko kam zu den richtigen Schlussfolgerungen und startete im August ein Programm für finanzielle Anreize. Es stimmt, sie hat hier auf ihre eigene Weise gehandelt, nicht wie alle anderen. Die Ankündigung des Programms war zwar öffentlich, aber ansonsten handelte Apple weiterhin heimlich. Die Bedingungen des Programms sind nicht öffentlich zugänglich und die Teilnahme ist nur auf Einladung möglich.
Die Höhe der Belohnungen wissen wir aus der Präsentation des Leiters der Sicherheitsabteilung von Apple, Ivan Krstic. Wie auf einer der Folien gezeigt, wird die maximale Belohnung von 200.000 US-Dollar für das Hacken von Secure Boot-Firmware-Komponenten gezahlt. Das Minimum beträgt 25.000 US-Dollar für den Vorgang, bei dem die Sandbox verlassen und auf die persönlichen Daten des Benutzers zugegriffen wird.
Folie aus der Präsentation von Ivan KrsticEs wird angenommen, dass selbst 200.000 US-Dollar nicht hoch genug für 0 Tage für iOS sind. Diese Exploits sind ziemlich selten, daher sind ihre Kosten auf dem Schwarzmarkt viel höher. Zum Beispiel
erhöhte Zerodium kurz nach Krstics Präsentation
die Preise für den Kauf von Exploits für iOS. Für das Wertvollste - den Remote-Jailbreak von iOS 10 - zahlen sie bereits 1,5 Millionen US-Dollar anstelle der vorherigen 500.000 US-Dollar.
Neue Zerodium-PreiseWo verkaufen Sie Jailbreak - bei Apple für 200.000 USD oder bei Zerodium für 1,5 Millionen USD? Dies ist wahrscheinlich eine rhetorische Frage. Es wird nur wenigen Menschen peinlich sein, dass Zerodium mit speziellen Diensten und Strafverfolgungsbehörden verschiedener Länder zusammenarbeitet und seine Heldentaten für staatliche Spionage und andere nicht sehr schöne Dinge verwendet werden können.
Übrigens ist es alles andere als eine Tatsache, dass wenn Apple die Exploit-Preise auf das graue Marktniveau erhöht, dies das Problem lösen wird. Hier funktioniert die Wirtschaft wie folgt. Wenn Apple die Preise erhöht, wird 0day für iOS noch seltener - und die Preise auf dem grauen Markt werden noch weiter steigen. Das heißt, wir werden dorthin zurückkehren, wo wir begonnen haben. Obwohl de facto nicht geschlossene Bugs wirklich weniger sein werden. Im Allgemeinen ist dies das Hauptziel von Schwachstellenzahlungsprogrammen.
Derzeit können Käufer von 0-Tage-Schwachstellen in drei Gruppen eingeteilt werden:
- Apple selbst.
- Kriminalität: die Mafia, kriminelle Gruppen und so weiter.
- Große Akteure, einschließlich staatlicher Geheimdienste: NSA, Mossad, GRU, ISIS (in Russland verboten) und so weiter.
Apple hat sehr große Geldbestände in Banken. Über geheime Tochtergesellschaften brachte sie
mehr als 200 Milliarden US-Dollar ins Ausland . Dieses Geld kann verwendet werden. Apple kann die Belohnung für Exploits leicht so weit erhöhen, dass Kriminalität (Mafia, kriminelle Gruppen) nicht damit konkurrieren kann. Aber sie wird niemals mit Geheimdiensten konkurrieren können, deren Ressourcen nahezu unbegrenzt sind und nicht nur auf Geld beschränkt sind. Diese Jungs haben immer ihren exklusiven 0-Tag zur Verfügung, egal was Sie tun und welche Belohnungen Sie für die Aufdeckung von Schwachstellen vergeben.