Apple Apple lanza el programa Bug Bounty en Black Hat USA 2016

Apple finalmente tiene un programa de recompensas de errores.

El jefe de ingeniería y arquitectura de seguridad de la compañía, Ivan Krstic, anunció el programa solo por invitación durante una rara aparición pública en la convención de hackers Black Hat USA 2016 en Las Vegas, la noche del 4 de agosto.

Krstic, cuyo equipo es responsable de la seguridad de principio a fin de todos los productos de Apple, dijo que la compañía pagará hasta $ 200,000 por los errores identificados durante su presentación el jueves, "Detrás de las escenas de seguridad de iOS".

La compensación depende del pirateo: el acceso a los datos de la aplicación de espacio aislado tiene un valor de hasta $ 25,000, mientras que el hecho de comprometer los componentes del firmware de arranque seguro puede generar un máximo de $ 200,000.

Recompensar a los piratas informáticos por revelar vulnerabilidades de seguridad en lugar de explotarlas en secreto se ha vuelto cada vez más común: todos, desde Uber hasta el Pentágono, lo hacen.

El cambio de Apple de confiar en la buena voluntad de los investigadores a ofrecer una recompensa por la divulgación de errores probablemente esté motivado por el hackeo de un iPhone 5c conectado al tiroteo de San Bernardino de 2015. El público sabe poco sobre el hackeo y si aún podría usarse para romper en un iPhone.

Robert McCarthy, asistente de Black Hat, escribió en Twitter:

Audiencia: "¿Cuánto influyó el FBI en tu posición?"

Ivan Krstic: “Soy ingeniero aquí para responder preguntas técnicas”

Incluso el FBI, que le pagó a un tercero aún desconocido por hackear el iPhone cuando Apple se negó a ayudar en el caso, no sabe cómo se comprometió el dispositivo. Puede que ni siquiera sepa cuánto costó realmente el hackeo, ya que los informes posteriores que afirman que en realidad costó menos de $ 1 millón, afirmaron que el reclamo del director del FBI, James Comey, de que costó alrededor de $ 1.3 millones.

Esa ambigüedad es aún más preocupante porque el FBI no encontró nada en el dispositivo. Esto significa que una de las principales agencias de aplicación de la ley del mundo le dio una cantidad desconocida de dinero a una compañía desconocida para que realice un pirateo desconocido, lo que demuestra que se puede hacer y que todas las personas con un iPhone 5c están en riesgo, sin obtener nada a cambio.

Un programa de recompensas de errores podría permitir a Apple eliminar algunas de esas variables y hacer que sus productos sean más seguros. Sin embargo, es extraño que el programa comience con unas pocas docenas de investigadores y se expanda solo por invitación. El objetivo de un programa de recompensas de errores es, por lo general, hacer que la mayor cantidad de personas puedan investigar diferentes funciones de seguridad para ver en qué pueden trabajar.

Según los informes, Apple planea invitar a más personas al programa a medida que pase el tiempo, e "invitar" a cualquier persona que notifique una vulnerabilidad grave a través de otros canales, pero por ahora parece que Apple simplemente está metiendo sus dedos en el grupo de recompensas de errores. Eso es característico de la compañía, que a menudo es cauteloso, pero probablemente será desalentador para cualquiera que quiera competir por las recompensas lo antes posible.

Aún así, este es un progreso inconfundible para Apple. Así fue como Krstic apareció en un evento como Black Hat USA en primer lugar. Combinado con otros cambios, como la decisión de no cifrar el núcleo de iOS 10, parece que el legado del episodio de San Bernardino podría ser una Apple que esté dispuesta a salir de la sombra para que las personas que usan sus productos estén un poco más seguras..