Apple braucht ein Bug-Bounty-Programm

Twitter gerade eine Bug-Bounty-Programm gestartet. Das ist ein kluger Schachzug, und es ist eine Bewegung, die Apple in Betracht ziehen sollten. Großen Tech-Unternehmen, das Software bietet sollte auch ein Bug-Bounty-Programm zum Schutz bieten. Jetzt ist die perfekte Zeit, um den Wert des Gebens Hacker eines Grund zu helfen, zu verstehen.

Der Schöpfer des iBrute, möglicherweise das Tool verwendet, um diese Promi-Nacktfotos, stehlen sagte Forbes, dass er Apple für angemessene Entschädigung vorgewarnt haben würde. Während wir noch nicht wissen, genau wie Hacker bekam ihre Hände auf die Fotos, noch nicht Apple verweigert, dass das iBrute-Tool verwendet wurde. In beiden Fällen gab es draußen ein Exploit, der die Art der gezielten Angriff, den Apple glaubt in der Promi-Foto-Diebstahl ereignet möglich machte. Jemand wusste davon, aber sie hatten keinen Anreiz, das Unternehmen zu warnen.

Warum nicht? Facebook, Google, Microsoft, und jetzt Twitter haben alle erkannte den Wert der Bounty Programme, wie viele andere kleinen Organisationen haben – diese Programme sind für Start-ups als auch große Spieler schlau. Start-ups oft wachsen, die ihre Sicherheitsfunktionen übertrifft, und stützte sich auf Außenstehende kann helfen, die Katastrophe abzuwenden.

Geheimnis, konnte zum Beispiel eine ziemlich ernste Sicherheitslücke patch, bevor jemand wegen seiner Bug-Bounty-Programm nutzen konnte. Start-ups, die Hilfe von außen, wie Snapchat, entlassen haben inzwischen große Sicherheitslücken erlebt – teilweise aufgrund ihrer feindseligen Haltung gegenüber seiner Hacker.

Größere Unternehmen haben es härter. Wenn man riesige und Umgang mit Millionen von Menschen, es schwieriger, ist zuzugeben, dass vielleicht nicht sind es perfekt machst. Nur so, dass alles dicht ist, kann die bessere Option scheint. Bis es nicht. Um fair zu sein, ist Apple nicht völlig ablehnend: Es gab einem Hacker ein Praktikum in der Vergangenheit und liefert eine Seite für Entwickler, um Fehler zu melden. Aber es ist nicht genug.

Fehler-Prämien sind keine silberne Kugel; Unternehmen nicht nur eine fette Belohnung bieten und nennen ihn einen Tag. Zugrunde liegenden Schwachstellen Antizipation ist von entscheidender Bedeutung, aber keine Software werden immer völlig sicher und vorgeben sonst ist töricht. Die Realität ist, wer die stahlen Nacktbilder wahrscheinlich würde haben einen Weg gefunden, zu bekommen, unabhängig davon, ob iBrute war (sie nicht selbst verwendet haben, dass bestimmte Werkzeug, es gibt viele andere Optionen). Aber während ein Unternehmens nicht vollständig, das Potenzial für Fehler auszurotten kann, es kann Kontrolle ist, wie es mit den Leuten zusammenarbeitet, die den Fehler zu finden.

Ich fragte Apple, warum sie kein Bug-Bounty-Programm, und ich bin immer noch auf eine Antwort. Ich vermute, dass es wahrscheinlich mit notorisch Privatsphäre orientierte Unternehmenskultur zusammenhängt. Es kann auch aus einem bestimmten Grund von Information-Security-Experte Kenneth van Wyk angelegt sein: "Ich kann nicht umhin zu denken, dass der Bug Finder im Wesentlichen mit einer metaphorischen Pistole an die Leiter der Software-Unternehmen mit den Worten:"Zahlen, oder ich werde diese Sicherheitsanfälligkeit auf der ganzen Welt veröffentlichen"sind", schrieb er in der Computerworld. Wie Wyk Prämien sieht und wie, die Apple, sehen kann, ist vergleichbar mit einem Entführer fordern Lösegeld.

Die Sache ist, Menschen gehen, um Fehler zu finden. Und ja, Bug-Bounty-Programme erkennen an, dass diejenigen Hebel über ein Unternehmen haben. Werden immer Menschen, die Sicherheitsrisiken für ihre eigenen Zwecke nutzen wollen, aber einige Leute würde über das Problem der Orchestrierung eine massive Leck skandalöse Fotos für eine kleine Anerkennung (und Geld) begleichen. Und wenn Unternehmen oft Insel- und hubristic Haltung, die einige Technologieunternehmen in Richtung Sicherheit haben ändern, das kann passieren. Facebook, hat zum Beispiel 687 Bug Bounty Awards vergeben, da es sein Programm im Jahr 2012 begonnen. Das ist eine große Hilfe, anerkannt. Und wer weiß wie viele Katastrophen abgewendet.

Blei-Bild: Guilherme Tavares/Flickr