Le grandi aziende del settore informatico sono divenute ormai, volenti o nolenti, delle vere e proprie casseforti di dati sensibili e, come per ogni cassaforte che si rispetti, la sicurezza deve essere una priorità di massimo livello. Molte compagnie, già da diverso tempo, hanno deciso di esternalizzare la ricerca di bug e falle di sicurezza dei loro software. Oltre ad appaltare questa tipologia di lavoro ad aziende specializzate, si fa spesso ricorso ai cosiddetti bounty program, programmi di ricompensa. Questi prevedono dei riconoscimenti in denaro, destinati a tutti quei ricercatori ed esperti informatici che scoprono una falla di sicurezza in un software, provvedendo a comunicare il problema all’azienda interessata.

hacker

Apple, dal canto suo, si è sempre rifiutata di pagare per i bug report, rendendo sempre più difficile ai dipendenti di Cupertino il compito di ricerca e risoluzione delle falle di sicurezza. Questo modus operandi cambia oggi. Come riportato da TechCrunch, Ivan Krstic, in capo alla sicurezza delle architetture di Cupertino, ha annunciato al pubblico del Black Hat Forum che Apple inizierà a offrire ricompense, fino a $200.000, ai ricercatori che saranno in grado di scovare vulnerabilità all’interno dei prodotti della società. Tuttavia il programma non è aperto a tutti, per evitare l’arrivo presso uffici di Cupertino di un numero spropositato di falsi positivi. Per ricevere un invito al bounty program è necessario aver già avuto contatti con Apple in merito a questioni di sicurezza e falle di sistema. Tuttavia, Apple non sarà cieca nel riconoscere il lavoro svolto anche da nuovi ricercatori che potrebbero offrire un importante contributo. Il programma sarà ufficialmente lanciato a settembre e prevede cinque categorie di rischio e ricompensa:

  • vulnerabilità del firmware di boot: fino a $200.000
  • vulnerabilità che permettono l’estrazione di materiale confidenziale da enclavi sicure: fino a $100.000
  • esecuzione di codice malevolo con privilegi di kernel: fino a $50.000
  • accesso a dati iCloud sui server Apple: fino a $50.000
  • accesso a dati dell’utente da un processo sandboxed: fino a $25.000

Per essere idonei a ricevere la ricompensa, i ricercatori dovranno fornire una dimostrazione della vulnerabilità riscontrata, sull’ultima versione di iOS, installata su l'hardware più recente disponibile. Infine, Apple ha incoraggiato i ricercatori a donare le loro ricompense ad opere caritatevoli; Cupertino, dal canto suo, provvederà a raddoppiare ogni donazione fatta dai ricercatori, trasformando una donazione da $200.000 in una da $400.000.