Behind the Scenes of iOS Security
Apple cuối cùng đã có một chương trình tiền thưởng lỗi.
Ivan Krstic, người đứng đầu công ty kỹ thuật bảo mật và kiến trúc, đã công bố chương trình chỉ mời trong lần xuất hiện công khai hiếm hoi tại hội nghị hacker Black Hat USA 2016 ở Las Vegas vào đêm 4/8.
Krstic, nhóm quản lý chịu trách nhiệm bảo mật đầu cuối cho tất cả các sản phẩm của Apple, cho biết công ty sẽ trả tới 200.000 đô la cho các lỗi được xác định trong bài thuyết trình của ông vào thứ Năm có tên là Đằng sau những cảnh bảo mật của iOS.
Bồi thường tùy thuộc vào hack: truy cập dữ liệu ứng dụng hộp cát có giá trị lên tới 25.000 đô la trong khi thỏa hiệp các thành phần phần mềm khởi động an toàn có thể kiếm được tối đa 200.000 đô la.
Việc khen thưởng các tin tặc đã tiết lộ các lỗ hổng bảo mật thay vì bí mật khai thác chúng đã trở nên ngày càng phổ biến - mọi người từ Uber đến Lầu năm góc đều làm như vậy.
Việc Apple chuyển từ dựa vào thiện chí của các nhà nghiên cứu sang đưa ra phần thưởng cho việc tiết lộ lỗi có thể được thúc đẩy bởi vụ hack iPhone 5c kết nối với vụ bắn súng San Bernardino năm 2015. Công chúng biết rất ít về vụ hack và liệu nó có thể được sử dụng để phá vỡ vào iPhone.
Người tham dự Mũ Đen Robert McCarthy đã Tweet lại:
Thính giả: Vấn đề của FBI đã ảnh hưởng đến vị trí của bạn như thế nào?
Ivan Krstic: Tôi là một kỹ sư ở đây để trả lời các câu hỏi kỹ thuật
Ngay cả FBI, người đã trả tiền cho một bên thứ ba vẫn chưa biết để hack iPhone khi Apple từ chối giúp đỡ trong vụ án, không biết cách thiết bị bị xâm phạm. Nó thậm chí có thể không biết vụ hack thực sự có giá bao nhiêu, vì giám đốc FBI James Comey, tuyên bố rằng nó có giá khoảng 1,3 triệu đô la đã bị bác bỏ bởi các báo cáo sau đó tuyên bố rằng nó thực sự có giá dưới 1 triệu đô la.
Sự mơ hồ đó thậm chí còn liên quan nhiều hơn vì FBI đã không tìm thấy bất cứ thứ gì trên thiết bị. Điều này có nghĩa là một trong những cơ quan thực thi pháp luật hàng đầu thế giới đã đưa một số tiền không xác định cho một công ty không xác định để thực hiện một vụ hack không xác định - do đó chứng minh rằng nó có thể được thực hiện và mọi người có iPhone 5c đều gặp rủi ro - mà không nhận lại được gì.
Một chương trình tiền thưởng lỗi có thể cho phép Apple loại bỏ một số biến đó và làm cho sản phẩm của họ an toàn hơn. Tuy nhiên, điều kỳ lạ là chương trình sẽ bắt đầu với vài chục nhà nghiên cứu và chỉ mở rộng bằng lời mời. Điểm quan trọng của chương trình tiền thưởng lỗi thường là thu hút càng nhiều người càng tốt để chọc vào các tính năng bảo mật khác nhau để xem những gì họ có thể làm việc xung quanh.
Apple báo cáo có kế hoạch mời nhiều người tham gia chương trình hơn khi có thời gian, và để mời Mời bất cứ ai báo cáo lỗ hổng nghiêm trọng thông qua các kênh khác, nhưng hiện tại có vẻ như Apple chỉ đang nhúng ngón chân vào bể tiền thưởng. Đó là đặc điểm của công ty, thường rất thận trọng, nhưng có thể sẽ không phù hợp với bất kỳ ai muốn tranh giành phần thưởng càng sớm càng tốt.
Tuy nhiên, đây là tiến bộ không thể nhầm lẫn đối với Apple. Krstic cũng xuất hiện tại một sự kiện như Black Hat USA ngay từ đầu. Kết hợp với các thay đổi khác, như quyết định không mã hóa hạt nhân iOS 10, có vẻ như di sản của tập San Bernardino có thể là một Apple sẵn sàng bước ra khỏi bóng tối để có thể giữ cho nhiều người sử dụng sản phẩm của mình an toàn hơn một chút.