Apple lancerer dusørordning: 200.000 dollars for at identificere fejl

Illustration: Virrage Images/Bigstock
Identificer en fejl i Apples software og bliv belønnet økonomisk. Tech-giganten har præsenteret en såkaldt ‘bug bounty’-ordning og åbner dermed op for en mere blød linje over for sikkerhedsresearchere.

Apple har præsenteret en ordning, som økonomisk belønner dem, der kan finde fejl i virksomhedens software. Dermed følger de i hælene på konkurrerende virksomheder som Google, Facebook og Microsoft, som allerede har et såkaldt ‘bug bounty’-program kørende.

Det skriver Techcrunch.

Og det er ikke små summer, man kan score, hvis man identificerer en fejl i Apples software.

Opdager man en sårbarhed i en firmware-komponent, kan det belønnes med helt op mod 200.000 dollars.

Således ser Apples kategorier ud for belønning. Afhængig af sværhedsgrad og alvor belønnes folk, der finder fejl i Apples software, med op mod 200.000 dollars. Illustration: MacRumors

En sund udvikling

Ordningen blev præsenteret på Black Hat-konferencen i USA, som er en årlig it-sikkerhedskonference, hvor Apples chef for sikkerhed, Ivan Krstic, fortalte om ordningen. Talen markerede ifølge Techcrunch den første Apple-repræsentant, der taler på konferencen i fire år.

Læs også: Apple vil gøre det umuligt at åbne låste iPhones

Normalt plejer Apple at gemme den slags annonceringer til deres egen konference, WWDC, og derfor kan det ses som et aktivt tegn på, at Apple er begyndt at lægge en mere åben linje over for hackere, researchere og kryptografer, som vil hjælpe med at øge sikkerheden. Æble-virksomheden har ellers tidligere været notorisk kendt for ikke at ønske hjælp udefra.

»Apple har historisk set haft et svært forhold til researchere. Men over de seneste 10 år har det ændret sig mere og er blevet mere positivt,« siger chefen for sikkerhedsfirmaet Securosis, Rich Mogull, ifølge Techcrunch, og han understreger, at belønningsprogrammet er endnu et skridt i den rigtige retning.

Mogull fortæller videre, at pengene alene dog formentlig ikke er incitament nok for hackere og andre folk, der har evnerne til at identificere fejl i softwaren. Dertil kan Apple simpelthen ikke betale nok, siger han ifølge Techcrunch. I stedet tiltrækker ordningen folk, der ønsker at gøre en forskel og oprigtigt øge sikkerheden i Apples produkter.

Læs også: Hackere gør krav på en million dollars i dusør for at have kompromitteret det nyeste iOS

Kan ikke længere finde alle fejl

Virksomheden har tidligere argumenteret imod brugen af en ‘bug bounty’-ordning, men at de nu går i den anden grøft indikerer, ifølge grundlægger af bug bounty-programmet HackerOne - Alex Rice, at det bliver sværere og sværere for Apple selv at identificere alle fejl. Han fortæller til Techcrunch, at belønningsordningen giver god mening.

»Der findes endnu ikke en virksomhed, som har oprettet et bug bounty-program, og som ikke har identificeret nye sårbarheder, som de ikke kendte til på forhånd. Hvis en virksomhed starter et sådant program, så har de plukket alle de lavthængende frugter og fulgt den bedste praksis, men de ved, at det ikke længere er nok,« siger Alex Rice til Techcrunch.

Læs også: Appudvikler: Spotify provokerer bevidst med angreb på Apple

Apple har opfordret de folk, der modtager de økonomiske belønninger, til at donere pengene til velgørenhed. Sker det, vil de selv fordoble beløbet. Altså kan en dusør på 200.000 dollars pludselig blive til 400.000 dollars til velgørenhed.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
René Nielsen

Nu er det jo ikke første gang i verdenshistorien at et firma har ændret sine politikker eller at den "ene hånd ikke vidste hvad den anden hånd laver".

Uanset Martin Dahl's artikel henvisning, ser jeg det som et skridt i den rigtige retning fordi det sætte fokus på sikkerhed.

Der er utvivlsomt også et PR-element i sagen når man på en black-hat-hacker kongres offentliggør et Bugbounty program.

Det er muligt at nogle lyssky elementer vil betale måske en million USD for det som Apple/Google m.fl. betaler en femtedel for, men ved Apple/Google får du pengene, hvor andre lyssky elementer kræver at dit hack holder/vedligeholdes i mindst 12 måneder, for du får det fulde beløb.

Det må være surt at man troede man fik en million USD fordi en anden hacker via Bugbounty programmet fik 50-100K hvor rettelsen imod hans hack som sideeffekt lukkede dit ned i løbet af vedligeholdelsesperioden.

  • 0
  • 0
Log ind eller Opret konto for at kommentere