Apple anuncia un Programa de Recompensa de Bugs

Estos programas son utilizados por las empresas para "recompensar" a todo aquel que logre encontrar y demostrar vulnerabilidades de seguridad a los diferentes servicios que las empresas contratantes esperan solucionar, o siquiera, conocer. Empresas como Facebook, Google, Square o Yahoo utilizan seguido estos programas, entregando sus sistemas a hackers, ingenieros y desarrolladores para que intenten encontrar la mayor cantidad de falencias posibles.

Con cada reporte, las empresas ofrecen recompensas por los hallazgos, desde donaciones hasta simplemente entregar efectivo al equipo o individuo que realizó el reporte, lo cual obviamente generó una gran proliferación de grupos que se encargan de juntar recursos para realizar dichos trabajos, por ejemplo, HackerOne.  

En un anuncio hecho ayer en la conferencia de Seguridad Informática "Black Hat", el jefe de la sección de Ingeniería y Seguridad de Apple Ivan Krstic lanzó al público la decisión de lanzar el programa a partir de septiembre de este año, prometiendo recompensas de hasta 200.000 U$S, siendo el monto más alto jamás propuesto para este tipo de programas de "caza de bugs". 

Por el momento, el programa será accesible solamente por invitación de Apple mismo ya que temen que si lo hacen abierto desde un principio se podría colmar de oportunistas o de reportes de poca ingerencia que opacarían por cantidad a aquellos reportes de vulnerabilidades más serias. Krstic prometió que el programa se iría abriendo al público a medida que avance su desarrollo, pero en sus comienzos solo una docena de grupos serán invitados a participar. 

Especulando un poco, esta decisión puede devenir de los últimos inconvenientes que tuvo Apple con la ley en relación al caso de los tiradores de San Bernardino en Diciembre del año pasado. En dicho caso, el FBI logró incautar un iPhone 5 de uno de los supuestos implicados y dada la negativa de Apple para desbloquear el contenido del teléfono, el FBI pagó la suma de 1 Millón de Dólares a un contratista privado para desbloquearlo. Una vez desbloqueado, el FBI nunca divulgó como lo lograron... por lo cual Apple nunca se enteró como burlaron la seguridad de su dispositivo.

Por medio de este programa entonces, podemos asumir que Apple espera encontrar ese bache y otros tantos que sus sistemas deben tener, o que al menos ellos creen que están ahí. 

El programa de caza de bugs de Apple comprendería las siguientes categorías de riesgo y recompensa:

  • Vulnerabilidades en la seguridad del sistema de booteo del firmware: Hasta 200.000 U$S
  • Vulnerabilidades que permitan la extración de datos confidenciales: Hasta 100.000 U$S
  • Ejecución de código malicioso con privilegios de "kernel": Hasta 50.000 U$S
  • Acceso a datos de cuentas de iCloud en servidores de Apple: Hasta 50.000 U$S
  • Acceso a datos externos de usuarios de procesos en fase "sandbox": Hasta 25.000 U$S

Un dato de color: 

En su anuncio, Krstic agregó un extra que, como suele hacer Apple en sus presentaciones, dejó a todos aplaudiendo de parados. En el caso de que un miembro del programa decida donar su recompensa a la caridad, Apple doblaría dicha recompensa. Porque Apple siempre piensa en los que más lo necesitan