Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 44 reacties
Submitter: ronaldmathies

Apple heeft zijn eigen bug bounty-programma opgezet. De fabrikant gaat betalen voor kwetsbaarheden die in zijn software gevonden worden. De hoogte van het bedrag is afhankelijk van de ernst van de kwetsbaarheid, met een maximum van 200.000 dollar.

Het beloningsprogramma, waar onder andere TechCrunch over schrijft, gaat in september van start en deelnemers zullen in eerste instantie alleen op uitnodiging mee kunnen doen. Wie een kritieke kwetsbaarheid vindt kan uitgenodigd worden voor het programma. Dat heeft Ivan Krstic, beveiligingstechnicus bij Apple, tijdens een sessie op Black Hat 2016 bekendgemaakt.

Apple hanteert verschillende categorieën voor gemelde kwetsbaarheden. Voor het aanbrengen van bugs in 'Secure boot firmware componenten' betaalt het bedrijf tot aan 200.000 dollar. Het onttrekken van gevoelige data aan de Secure Enclave Processor van Apple-apparaten, wordt met maximaal 100.000 dollar beloond. Het kunnen uitvoeren van willekeurige code met verhoogde kernelrechten en ongeoorloofde toegang tot iCloud-accounts, kan tot een uitgekeerd bedrag van 50.000 dollar leiden.

Bij de afweging welk bedrag de melder krijgt, speelt de duidelijkheid van de melding, de waarschijnlijkheid dat er gebruikersgegevens op het spel staan en de hoeveelheid actie die ondernomen moet worden om het lek te misbruiken, een rol. Apple belooft bedragen die worden gedoneerd aan een goed doel, in omvang te verdubbelen.

Apple is relatief laat met een speciaal beloningsprogramma voor het melden van kwetsbaarheden. Grote internet- en softwarebedrijven als Google en Facebook hebben dat al langer. Het van oudsher gesloten bedrijf lijkt opener geworden, getuige ook het toenemend aantal opensourceprojecten van Apple. Tegelijkertijd zijn de afgelopen jaren enkele beveiligingsincidenten met betrekking tot Apple-diensten geweest, zoals met Messages en Siri.

Apple Blak Hat 2016

Afbeelding afkomstig van Jay Freeman.

Moderatie-faq Wijzig weergave

Reacties (44)

Het is goed dat Apple hier nu mee komt. Maar ik vraag me af of dit soort programma's met een dergelijke maximum vergoeding nu echt effectief zijn.

Er is een groeiende markt waarop je kwetsbaarheden kunt verkopen en allerlei security bedrijfjes en overheden, die hun inlichtingendiensten van munitie willen voorzien, hebben daar veel geld voor over. Je moet dan dus kiezen voor een kleine vergoeding van Apple waar je vervolgens wel honderden miljoenen mensen van betere beveiliging voorziet. Of je verkoopt het aan een of andere schimmige partij die er vervolgens allerlei tooltjes van maakt voor de AIVD's van deze wereld, en al die miljoenen mensen juist kwetsbaarder maakt.

Als je geen ethische hacker bent is de keus snel gemaakt denk ik. Dan ga je lekker voor het grote geld.
Als je niet etisch bent en voor het grote geld gaat, kan je het ook twee keer verkopen..., dwz oók aan Apple :).
Ik denk dat ze dat via een contract onmogelijk voor je maken. Anders zou iedereen het altijd dubbel verkopen toch?
Ik weet niet wie je met "ze" bedoelt, maar ik denk dat, als je illegaal/via duistere kanalen informatie verkoopt, er weinig contracten aan te pas komen.
NSA / AIVD en andere 3 / 4 letter instanties. Het is toch dom om een exploit aan te kopen van iemand en dan maar hopen dat hij het niet de zelfde dag nog via een bug bounty weer meld aan een fabrikant, waar hij dan ook weer geld voor ontvangt? 8)7
Als er geld mee te verdienen valt, zijn mensen inventief en "slim".
Apple kennende zal dat wel met een annex-contractje zijn - non-disclosure tot de melder RIP is. Sorry dat ik 't zo cru zeg, maar een bedrijf met een stikte interne security-dienst werkt wellicht zo.
Apple zal natuurlijk eisen dat je de kwetsbaarheid niet publiek maakt, toch zeker niet voor ze gefixed is, dat is gewoon common sense/goed beheer.

[Reactie gewijzigd door quantumleapje op 5 augustus 2016 18:45]

Je maakten afweging.

Als bedrijf wil je natuurlijk niet de hoofdprijs gaan betalen. Het kan zelfs mogelijk corruptie in de hand werken waarbij interne medewerkers potentiële zwakheden naar buiten brengen.

En softwarematige zwakheden komen vroeg of laat altijd wel naar buiten. Maar al te vaak is het iets toevalligs waarna er gezocht wordt na een afwijking.

Hardware-matige zwakheden zullen door een relatief kleine groep te analyseren zijn en ik vermoed dat na het debacle met Apple een telefoon nimmer 100% beveiligd zal worden. En daarbij denk ik eerder aan het (relatief makkelijk) aflezen van een opslag-medium dan een echte fout.
Inderdaad. Daarbij zijn er genoeg goede mensen die gewoon een fout vinden en tevreden zijn met een redelijke beloning. Er zijn toch ook zat mensen die een portemonnee terug brengen???
Dat vind ik juist het sterke van Apple. Ze bieden prijzen die gelijkwaardig zijn aan de bedrijfjes die jij noemt. Veel onderzoekers zullen het dan liever aan Apple melden om de wereld veiliger te maken.
Je hebt maar één persoon nodig die het meldt zoals Apple het bedoelt. Daarmee zijn in 1 update alle onethische hackers uitgeschakeld. Mits er al schade is ontstaan natuurlijk.
Maar er zijn nog genoeg mensen in de wereld met goede bedoelingen.
Ligt het aan mij of zijn die bountys echt super laag?

50k voor het ontdekken van een lek voor volledige toegang van iCloud van alle gebruikers van Apple?!

Volgens mij krijg je daar op de darknets toch een stukje meer voor :P


En waarom zou iemand met skills een lek in iCloud proberen te vinden (met grote kans op tijdverspilling als je geen lek kunt vinden) voor 50k als hij met een simpele programmeeropdracht als freelancer in 4 maanden hetzelfde kan verdienen?
Volgens mij 10x zo hoog dan wat Google als maximale bounty uitkeert en 25x zo hoog dan wat de maximale Android bounty is.
https://www.google.com/about/appsecurity/reward-program/
https://www.google.com/about/appsecurity/android-rewards/
Dit zijn prima bounties volgens mij, bij andere bedrijven krijg je duidelijk minder.

Je krijgt daar op het Darknet echt niet meer voor. En de rewards voor een bootloader te kraken zijn ongeveer hetzelfde wat je bij een inlichtingendienst zou krijgen,vandaar de prijzen zoals ze zijn.

Dit soort bedragen zet echt zoden aan de dijk. Reken maar dat mensen gaan zoeken en als ze niets vinden kan je er zeker van zijn dat Apple producten veilig zijn. Vanwege de hoogte van het bedrag is er ook geen reden om naar iemand anders toe te stappen om meer te krijgen. Misschien dat alleen de NSA meer zou willen betalen, maar dat weet je nooit zeker. En als je het ze al verteld hebt dan kunnen ze je ook minder geven want je kan dan toch niet meer terug.

[Reactie gewijzigd door ArtGod op 5 augustus 2016 12:22]

Je krijgt daar op het Darknet echt niet meer voor.
Ik bedoelde niet dat je het lek letterlijk verkoopt op de Darknet (dat kan vast ook wel), maar dat je alle bestanden van iedereen op iCloud kunt verkopen. Inclusief: nudes van celebrities (alleen die al zijn veel meer dan 50k waard voor roddelbladen), credit card numbers, passport scans, etc etc etc etc
Misschien dat alleen de NSA meer zou willen betalen,
Niet alleen de NSA hoor, alle bedrijven die exploits verkopen. Daar mag je gerust alle geheime diensten van alle landen als klant noemen + alle leveranciers aan die geheime diensten. Ik weet niet exact hoe die prijzen liggen, maar 50k is voor dat soort bedrijven gok ik echt kleingeld.
Niet iedereen heeft 'veel geld verdienen' als belangrijkste drijfveer om iets te doen. Voor velen is prestige, innerlijke drive om iets te leren/kunnen, vele malen belangrijker.
Hier zie je de verschillende bounty programmas:
https://bugcrowd.com/list-of-bug-bounty-programs
Of de eeuwige roem. Het staat natuurlijk goed op je CV als je als net afgestudeerde IT-er aan de slag wil bij - laten we eens gek doen - Fox IT.
Ik denk niet dat het Apple gaat om mensen gericht aan het werk te zetten om lekken te vinden. Het zal eerder zijn om mensen die toevallig iets hebben ontdekt de kans te geven het aan Apple te 'verkopen' in plaats van de verleiding te moeten weerstaan het op het dark web aan te bieden.

Stel, je bent niet heel sterk ethisch ontwikkeld en je vindt een lek. Je kunt het aan Apple melden dan en krijg je eeuwige roem middels een bedankje in een changelog. Of je kunt het verkopen op het dark web, het levert je nul roem op omdat je het anoniem moet doen maar je krijgt er misschien wel wat geld voor.

Door nu bedragen te bieden zal Apple ongetwijfeld meer meldingen krijgen.
En waarom zou iemand met skills een lek in iCloud proberen te vinden (met grote kans op tijdverspilling als je geen lek kunt vinden) voor 50k als hij met een simpele programmeeropdracht als freelancer in 4 maanden hetzelfde kan verdienen?
Niet iedere freelancer zal 50k in 4 maanden verdienen natuurlijk. En bovendien hoef je ook niet 4 maanden te zoeken. Als ik kijk naar mezelf, dan heb ik vaak al wel ergens een voorgevoel bij. Dat kan gebaseerd zijn op kennis of gewoon stom toeval. Daarmee ga ik aan de slag en als mijn stelling klopt heb ik vaak nog maar een dag of twee nodig om de boel uit te werken, te documenteren en te versturen.

En dan is 50k voor 2 dagen werk wel netjes.
Als je als bedrijf iemand met skills naar je iCloud wil laten kijken, dan kan je hem beter inhuren, ipv een bug-bounty programma in te zetten. Een bug-bounty programma is ongecontroleerd. Iemand kan bijvoorbeeld vier fouten vinden, die kan dan overwegen om drie ervan aan Apple door te geven, en eentje zelf houden om zijn telefoon te routen.
op de darknets toch een stukje meer voor :P
Iets illegaals bedoel je? Natuurlijk keert iets illegaals doen meer uit ....
Misschien krijg je op een 'darknet' meer, maar dan ben je wel illegaal bezig met alle risicos van dien en je krijgt in zwart geld betaald.

Dan is de Apple aanbieding misschien nog niet zo verkeerd.
Wel bijzonder dat juist de issues die belangrijk zijn om de privacy van gebruikers te waarborgen als laagst zijn geclassificeerd inzake het beloningsbedrag.
Het is wel duidelijk dat Apple hiermee vooral de jailbreaks wil ontmoedigen.
Een secure boot bug is wel degelijk het meest ernstige lek omdat het de totale controle over het toestel kan geven.
Interessant. Ik vraag me af waar die bedragen op gebaseerd zijn. Je kunt betogen dat een vulnerability in de Secure Enclave een groter risico met zich meedraagt omdat er meer op het spel staat dan secure boot. Anderzijds is er voor het misbruik van een lek in Secure Enclave waarschijnlijk fysieke toegang tot het apparaat nodig en kan het niet remote geexploit worden.

Het zou ook kunnen dat secure boot simpelweg populairder is omdat het ook gebruikt wordt door jailbreakers en dat de bedragen dus ingegeven zijn door de marktprijzen.
Het lijkt er in inderdaad op dat het beschermen van het business model van Apple (gebaseerd op het beheren welke software er op de verkochte devices draait) belangrijker is dan de privacy van hun klanten. En dat vind ik toch wel wat merkwaardig.
Secure boot is privacytechnisch het allerbelangrijkste, dus ik snap je opmerking niet. :)
Hoezo? Zoals Maurits al zegt heb voor die lagere lagen eigenlijk altijd fysieke toegang tot het te hacken device nodig. Maar eigenlijk alle privacy gevoelige data, foto's, contacten, agenda worden ook geupload naar iCloud. iCloud is zonder fysieke toegang tot het device van overal ter wereld te benaderen en dus eventueel ook te hacken. Daar lijkt me een groter risico te liggen voor de gebruiker dan bij een custom rom mogelijkheid die via een bug in secureboot ontstaat. Ik zou de hoogste geldsom voor de kwalijkste zaak verwachten. Dus bij iCloud en niet bij secure boot.
Privacytechnisch is het apparaat veilig houden het belangrijkst. Daarop staat de meeste informatie. Wachtwoorden / cc's en dergelijke staan niet in iCloud. Er zal veel eerder een apparaat verloren / gestolen worden dan er ingebroken wordt via een kwetsbaarheid in iCloud. iCloud is te monitoren en wordt ook gemonitord.

iCloud is encrypted.
iCloud is weliswaar wereldwijd bereikbaar, maar erop is ook 2FA mogelijk.
Custom rom is niet het belangrijkste bij een secureboot probleem, malware is het grootste probleem dan.

[Reactie gewijzigd door SidewalkSuper op 5 augustus 2016 15:13]

"Wachtwoorden / cc's en dergelijke staan niet in iCloud."

Jawel, deze staan in de KeyChain, welke ook in iCloud opgeslagen wordt. Anders moest ik mijn gegenereerde wachtwoorden op elk apparaat opnieuw intikken.
Nee, Secure Boot is het belangrijkste. Daar valt of staat de complete rest van de beveiliging mee namen. Als je SB weet te omzeilen kun je je aangepaste firmware draaien op 't apparaat waarmee al die andere dingen kinderspel worden.
Bedragen zijn denk ik gebaseerd op wat een exploit doet op de zwarte markt, en dan zijn dit hele redelijke bedragen.
Goed om te lezen dat Apple inziet dat het nuttig kan zijn om wat minder gesloten te worden. Vooral het belonen van het vinden van kwetsbaarheden kan het systeem nog sterker maken lijkt me.
Het gaat hier niet om dat Apple dacht dat ze het niet nodig hadden. Maar anders dan Google betalen hun klanten voor alle testwerkzaamheden. De klanten van Google hebben geen/minder baad bij beveiliging. Dat hebben alleen de gebruikers. Maar die betalen nergens voor. Echter is er terechte druk en argwaan ontstaan over Apples' beveiliging door steeds complexere software, privacy gevoeligere diensten en groeiend marktaandeel.
Alleen op uitnodiging, maar als je een kritiek lek vind kan je uitgenodigd worden. Of ze fixen het kritieke lek en je wordt niet uitgenodigd. Hartelijk dank, het geld kan op de bankrekening blijven.
En weer een eigen platform, waarom geen samenwerking met bijv. OpenBugBounty, waar al talloze ethische hackers zitten die dit dagelijks doen.
Goede zaak lijkt me.

Kunnen ze nu ook beginnen met het nalezen van hun eigen (tech) fora over niet-kritische bugs of dat heeft geen prioriteit? Vind het ongelooflijk dat sommige bugs door zo veel mensen worden gerapporteerd maar Apple er tergend traag iets aan doet, of gewoon helemaal niks.
Ook kunnen ze nu traceren, wie er kennis heeft van hun systeem, eventueel aanwerven, of opvolgen bij misbruik
Even een aantekening bij een fragment uit het nieuwsbericht:

Het van oudsher gesloten bedrijf lijkt opener geworden, getuige ook het toenemend aantal opensourceprojecten van Apple.

(Met een link naar het openbaar maken van Swift 2.)

Dat is geen trend. Apple hanteert al heel lang half open, half gesloten broncode. De onderlaag van Mac OS X en iOS, Darwin, is bijvoorbeeld al vanaf het begin open source, alsmede veel fundamentele technologieën die Apple zelf ontwikkelt of ondersteunt, zoals LLVM en Clang, WebKit, OpenCL en XQuartz. Swift past gewoon in dat rijtje (natuurlijk wachten ze even met openbaar maken totdat ze een niveau hebben bereikt waar ze echt trots op zijn). De toplaag van de besturingssystemen en de gebruikersapps daarentegen zijn allemaal gesloten, en dat zal waarschijnlijk voorlopig ook zo blijven. Niets nieuws aan de hand dus. Wel heel goed dat ze nu een bounty-programma hebben, natuurlijk.

Eigenlijk zou zo'n opmerking beter toepasbaar zijn op Microsoft. Dat bedrijf is de laatste tijd van alles openbaar aan het maken, terwijl ze dat vroeger nooit deden.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True