Het was vooraf al bekend, er gingen mensen van Apple naar de Black Hat conferentie, de conferentie van 'goede' hackers. Met andere woorden, hackers die zoeken naar gaten en zwakke plekken in software, en die dat niet misbruiken maar melden aan de makers van die software, en dus eigenlijk onderzoekers zijn.

Apple is daar normaal gesproken nooit aanwezig, dus waarom dit jaar wel? Het blijkt dat Apple eindelijk ook over de brug is. Want Cupertino gaat nu ook, net zoals de meeste andere grote tech-bedrijven in de afgelopen vijf jaar besloten, hackers/onderzoekers belonen voor het vinden en rapporteren van zwakheden in Apple's software.

Het lijkt aannemelijk dat deze verandering van aanpak ook betekent dat het makkelijker wordt om dat soort zwakheden aan Apple te melden, en dat er meer feedback vanuit Apple naar de onderzoekers gaat komen.

Ivan Krstic

Het was Apple's Head of Security Engineering and Architecture Ivan Krstic die dit op Black Hat heeft aangekondigd, en hij vertelde er meteen bij dat de maximale beloning van Apple 200.000 dollar zal bedragen.

Dat was trouwens niet het enige wat Ivan Krstic op Black Hat te melden had. Hij sprak bijvoorbeeld ook over de veiligheidsmaatregelen die Apple heeft genomen bij HomeKit, AutoUnlock en de iCloud Keychain, en ook deze openheid is voor Apple een breuk met het verleden.

Beloningen

200.000 dollar is één van de hoogste beloningen die door een tech-bedrijf uitgeloofd wordt, maar op de zwarte markt zou een hacker nog veel meer kunnen verdienen. Of het kwaadwillende hackers zal overhalen lijkt dan ook de vraag, maar daar is deze beloning mogelijk ook helemaal niet voor bedoeld. Want het scheelt Apple natuurlijk zelf werk, en het toont ook dat het bedrijf het werk van de goedwillende onderzoekers waardeert.

Het programma van Apple wordt in september aanstaande gestart, en heeft vijf vooraf gedefinieerde categorieën:

• Zwakheden in de beveiligde opstart componenten van firmware: tot aan 200.000 dollar.
  
  
• Zwakheden die het mogelijk zouden maken om gegevens uit de Secure Enclave te halen: tot aan 100.000 dollar.
  
  
• Het kunnen uitvoeren van code in de kernel: tot aan 50.000 dollar.
  
  
• Toegang tot iCloud account data op Apple's servers: tot aan 50.000 dollar.
  
  
• Toegang vanuit een proces in een beveiligde 'zandbak' naar gebruikersdata buiten die zandbak: tot aan 25.000 dollar.
  
  

met dank aan forumlid 'Pieterr', die dit nieuws als eerste meldde

Invitation only...  

cyrano om 11:15, 05-08-2016
Invitation only...  

Als jij ze ongevraagd jouw kennis en kunde in deze materie voorlegt, kunnen ze niet meer om die invitatie heen!  

Dat werd tijd!

Top! Eindelijk! Ik denk dat dit de beveiliging van iOS / MacOS  X alleenmaat ten goede komt ... Vermoed dat de vergoeding wat 'karig' zijn (zwarte markt levert een veelvoud op), maar goed ... het is een uitstekend begin!