Bounty Program

Una delle parole che hanno acquistato importanza negli ultimi anni è sicuramente cybersecurity. Ormai la criminalità lavora sempre di meno in strada e sempre di più online. Questo perché si fanno più soldi, non si rischia di essere uccisi e la fuga è più semplice.

Se da un lato i malviventi diventano sempre più esperti e furbi, dall’altro lato le società devono investire sempre di più in sicurezza online. Ci sono tanti esempi di colpi andati a buon fine che dimostrano come non stanziare un budget sufficiente in cybersecurity sia molto più oneroso che rischiare un furto. Il primo che mi viene in mente sono i 610 milioni di $ in cryptomonete rubate su Poly Network quest’anno.

Quindi è importante per le società evitare bug nel sistema. Purtroppo come ogni sviluppatore sa, non esiste sistema privo di bug. L’importante è scovarne il più possibili e risolverli velocemente. Per raggiungere questo obiettivo le aziende offrono il Bounty Program: ricompense in denaro per chi riporta bug di sicurezza non ancora scoperti dall’azienda.

Apple ne ha uno attivato nel 2016 ma snobbato perché le ricompense erano basse. Programma rinnovato nel 2019 con ricompense un po’ più alte, ma pare che anche questo non sia granchè. Il problema è solo uno: i soldi.

L’hacker se malevolo trova molto più conveniente vendere la falla sul mercato nero e guadagnare milioni di dollari. Come dimenticare il programma Pegasus nato da una falla venduta per 50 milioni di $. Se l’hacker è benevolo, però, ha difficoltà a farsi pagare dalle aziende.

Come riporta il Washington Post, infatti, nel 2020 Apple ha pagato per i suoi bug appena 3,7 milioni di $. Google nello stesso anno, nonostante abbia un team interno molto preparato di cacciatori di bug, ha pagato ben 6,7 milioni di $ e Microsoft 13,6 milioni di $.

Questo non è dovuto alla quantità di bug sui sistemi, ma semplicemente Apple tende a non pagare nessuno. Un comportamento taccagno che spinge spesso i ricercatori a pubblicare le loro scoperte anzichè perdere tempo a tentare di farsi pagare.

Il problema, secondo un dipendente di Apple che è voluto rimanere anonimo, è il sistema di correzione dei bug in Apple. Il processo è così lento da richiedere anche 2 anni per la risoluzione di un bug. Quando un esterno ne segnala uno, questi potrebbe già essere nella backlog di Apple ma non ancora risolto, per questo la società non vuole pagare.

Il risultato è un mercato nero di falle dove aziende di sicurezza acquistano a man bassa exploit in iOS e macOS. Ne è un esempio l’israeliana Cellebrite che vende servizi di sblocco di dispositivi Apple al miglior offerente.

A tal proposito la società avrebbe assunto un esperto del settore per rinnovare di nuovo il sistema Bounty Program. Fino ad allora i bug di iOS potrebbero finire alla mercé di tutti anzichè essere fixati.

Leave a comment

Cosa ne pensi?