Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Offizielles Programm: Apples System hacken, bis zu 200.000 Dollar verdienen

Auf offiziellen Hackerwettbewerben ist es oft üblich, dass Unternehmen Preise darauf aussetzen, Sicherheitslücken in ihren Systemen zu finden. Erstmals beteiligt sich auch Apple an einem solchen Programm. Auf der Black Hat Hacker Conference gab Apples Sicherheitschef Ivan Krstic bekannt, dass sich sich bis zu 200.000 Dollar verdienen lassen, wenn ein Angreifer in Apples Secure Boot Firmware eindringt. Wem es gelingt, Daten aus der Secure Enclave zu entführen, erhält von Apple bis zu 100.000 Dollar. Ausführung beliebigen Codes im Kernel wird mit 50.000 Dollar belohnt, ebenso für unautorisierten Zugriff auf iCloud-Daten. Immerhin noch 25.000 Dollar Belohnung lobt Apple dafür aus, die Sandbox auszutricksen und an Nutzerdaten außerhalb des geschützten Raums zu gelangen.


Geld gegen Dokumentation
Natürlich geht es bei Wettbewerben wie diesen nicht nur darum, Sicherheitslücken zu finden. Die Unternehmen entlohnen erfolgreiche Hacker auch deswegen üppig, da die entdeckten Lücken natürlich zu dokumentieren sind und somit die Chance besteht, diese zu schließen, bevor wirklich Schaden angerichtet wird. Die von Apple als "Security Bounty Programm" bezeichnete Maßnahme kommt zahlreichen Branchenexperten aber viel zu spät. In der Vergangenheit gab es häufiger Kritik, warum Apple nicht ebenfalls auf die Unterstützung der Hackergemeinde setze. So manch ein Sicherheitsloch hätte auf diese Weise früher beseitigt werden können, heißt es.

Viele Unternehmen entlohnen Hacker bereits
Facebook schüttete beispielsweise in den letzten fünf Jahren mehr als vier Millionen Dollar für dokumentierte Sicherheitslücken aus - vom "Bug Bounty Programm" profitierte nicht nur das Unternehmen, sondern auch 800 Forscher und Hacker, die Probleme bei Facebook aufdeckten. Google bezahlte im letzten Jahr 500.000 Dollar für gefundene Sicherheitsmängel in Android, auch Microsoft entlohnt Hacker großzügig, wenn diese genau beschreiben, wie Microsofts Sicherheitsvorkehrungen von Angreifern umgangen werden können.

Einen Schönheitsfehler hat Apples Initiative aber: Die Auswahl, wer am Programm teilnehmen darf, erfolgt durch Apple und zunächst sucht sich Apple nur jene Forscher aus, mit denen schon in den letzten Jahren kooperiert wurde. Gehört man nicht zu dieser Gruppe, findet aber einen wesentlichen Sicherheitsmangel, so "erwägt" Apple nach eigener Aussage immerhin, ebenfalls eine Zahlung zu leisten.

Kommentare

Hannes Gnad
Hannes Gnad05.08.16 10:26
Gut, daß Apple endlich mehr in Richtung Sicherheit tut.

"Hell, it's about time."
0
matt.ludwig05.08.16 10:28
Hannes Gnad
Gut, daß Apple endlich mehr in Richtung Sicherheit tut.

"Hell, it's about time."
Ich glaube sie haben auch vorher schon viel getan nur jetzt bekommen die Finder auch etwas für Oder zumindest mehr.
0
marco m.
marco m.05.08.16 11:46
Dann wisst ihr ja, was ihr am WE zu tun habt!
Chevy Chase: Twenty years ago, we had Steve Jobs, Johnny Cash and Bob Hope. Now we have no jobs, no cash, and no hope. Please, don't let Kevin Bacon die!
0
PaulMuadDib05.08.16 12:10
Huch. Behauptete nicht jemand kürzlich, dieser Auftritt dienen einen völlig anderen Zweck?
0
sierkb05.08.16 12:54
PaulMuadDib
Huch. Behauptete nicht jemand kürzlich, dieser Auftritt dienen einen völlig anderen Zweck?

Wer soll das wann wo gewesen sein und warum? Ich denke mal, Du vermutest da was Falsches bzw. versuchst etwas zu insinuieren, das so weder gesagt noch angedeutet noch sonst irgendwie von irgendjemandem verlautbart wurde.

Alles ist gut.

Die jetzige Entwicklung ist erfreulich, zu begrüßen, ist äußerst sinnvoll, ist überfällig. Niemand beschwert sich drüber, alle nehmen es wohlwollend und sehr begrüßend zur Kenntnis, wenngleich auch mancher, der in dem Zusammenhang und auf der Ebene mit Apple schon zusammengearbeitet hat, es mit gewisser abwartender vorsichtiger Skepsis kommentiert, auch wenn gerade er diesen Schritt seit langer Zeit immer wieder herbeigesehnt und herbeigewünscht hat – die man ihm auch nicht verdenken kann, wenn man bedenkt, wie schofelig und wenig fair und vor allem wie unprofessionell sich Apple ihm gegenüber und auch in der Sache, um die es ging, verhalten hat dafür, dass er ihnen geholfen hat, eine eklatante Sicherheitslücke in iOS, die sie übersehen hatten, zu finden und zu fixen.
0
PaulMuadDib05.08.16 14:23
Na, eine Deiner Lieblingsquellen war das, afaik
0
sierkb05.08.16 14:40
PaulMuadDib:

Aha. Derjenige hat dann wohl auch einen Namen, oder?
Zudem: Du weichst der Fragestellung aus: wo/womit hat er Unrecht? Stimmt es denn nicht, was er sagt? Was stimmt denn davon wo nicht? Stelle es doch bitte mal richtig und zeige bitte auf, dass Deine/eure Anschuldigung ihn betreffend völlig berechtigt und er in der Sache und auch im Tonfall im Unrecht ist und Du/ihr im Recht. Danke.

Zudem: er soll für die Zukunft bitte stattdessen was und und dieses Was wie sagen, damit es Dir/euch beiden genehm ist und von Dir/euch beiden nicht beanstandet wird?
0
PaulMuadDib05.08.16 16:40
Eine Sache hat immer zwei Seiten. Aber das beginnen die irgendwann zu vergessen. Was ist also an Apples Sicherheitsarchitektur so schlecht, um in der letzten Zeit nur hämische Kommmentare zu schleudern? Offenbar funktioniert sie ganz gut. Das mit dem unverschlüsselten Code z.B. war ja wohl doch volle Absicht. Aber es wurde natürlich erst mal wieder verdreht. Warum hält man nicht erst mal die Klappe und wartet auf Fakten? Weil man sich dann nicht im Gespräch halten kann? Weil der Nimbus des "Experten" Kratzer bekommen kann?
0
sierkb05.08.16 17:50
PaulMuadDib
Eine Sache hat immer zwei Seiten. Aber das beginnen die irgendwann zu vergessen.

Was hat hier konkret zwei Seiten, die nicht beide fachgerecht und sachgerecht und aus berufenem Munde beläuchtet worden wäre? Zudem: wer sind "die"?
Was ist also an Apples Sicherheitsarchitektur so schlecht, um in der letzten Zeit nur hämische Kommmentare zu schleudern?

Was hat das mit Häme zu tun, wenn offensichtliche Schwächen einfach nur ausgesprochen und benannt werden und das aus berufenem Munde von Leuten, die es sich zur Aufgabe gemacht haben, derlei Systeme auf Schwachstellen hin zu untersuchen und mit denen Apple sogar auch zusammenarbeitet bzw. denen Du und ich bessere, sicherere Produkte versanken, eben weil sie Fehler aufgespürt, entdeckt und sie brav Apple gemeldet haben, sodass Applee sie fixen konnte und kann?
Was ist daran schlecht? Sei froh, dass es solche Leute gibt und es denen am Herzen liegt, dass Du und ich ein besseres Produkt haben und sie sich mit ihrem Können und Wissen aktiv und vor allem konstruktiv einbringen, um genau solche Verbesserungen zu bewirken? Diese Kritiken kommen doch nicht grundlos, und diese Kritiken haben Hand und Fuß, und sie sind berechtigt. Wer, wenn nicht genau solche Leute, die sich mit der Abdichtung und Verbesserung beschäftigen, ist denn sonst berechtigt, auch nur irgendwas zu sagen? Zumal gerade Apple leider, leider imemr erst dann reagiert, wenn man eben mal laut den Schnabel aufgemacht hat und macht und dadurch öffentlichen Handlungsdruck erzeugt, vorher kommen sie leider eben nicht in die Hufe und sitzen es aus, bis es nicht mehr geht. Das ist leider eine Krankheit bei Apple, die Du sogar von eingefleischten Apple Managern bestätigt bekommst unter der Hand, dass Apple da leider zu phlegmatisch ist und man, wenn man was erreichen will bei denen, wenn man möchte, dass gewisse Bugs gefixt werdne, denen immer und immer wieder und bis es schmerzt, auf die Zehen treten soll - bis sich eben was ändert und bis es eben gefixt ist. Wenn schon eingefleischte Apple Manager Dir als Entwickler im 4-Augen-Gespräch unter der Hand so einen Rat geben und eingestehen, dass sich diese Unkultur bei Apple endlich ändern muss, besser werden muss!

Es ist niemandem damit geholfen, wenn man immer nur wie Blümchen tut und sich stets selbstverliebt auf die Schulter klopft und nur angenehme News zulässt und hören will und alles, was auf Fehler und Probleme hinweist und sie benennt, in Grund und Boden brüllt und denen einen Knebel verpasst! Weder ist das für das Produkt gut noch für Apple!
Offenbar funktioniert sie ganz gut.

Aber nicht gut genug. Erst recht für den Anspruch, den Apple stets vor sich herträgt und die Verantwortung die bei so einer großen Installationsbasis mittlerweile zu tragen ist.
Das mit dem unverschlüsselten Code z.B. war ja wohl doch volle Absicht.

Das weißt Du nicht, ich auch nicht. Es ist vieles möglich. Es kann auch gut sein, dass Apple aus der Not eine Tugend gemacht hatte, denn hätten sie es von Anfang an mit Absicht gemacht, hätten sie es eigentlich anders aufziehen müssen, das wäre professioneller und eindeutiger gewesen, und vor allem hätten sie es bessr kommunizierne müssen. Noch so ein Problem bei Apple: sie kommunizieren das was sie tun nicht ausreichend bzw. teilweise mangelhaft und auch da ist Verbesserungsbedarf ohne Ende.
Aber es wurde natürlich erst mal wieder verdreht.

Da wurde gar nichts verdreht. Es wurde zurecht das Richtige gemutmaßt und das nicht ohne Anlass und ohne Grund.
Warum hält man nicht erst mal die Klappe und wartet auf Fakten?

Weil dann im Zweifel GAR NICHTS passiert und Apple gewisse Dinge einfach aussitzt? Du kannst es auch andersherum sehen: nur weil man eben da den Finger drauf hat und den Finger in die Wunde legt und es da Leute gibt, die da eben teilweise schmerzhaft den Finger in die Wunde legen und Apples Schritte beobachten, passiert bei Apple an der Front überhaupt was. Diese Leute bekommen regelmäßig Recht in dem was sie tun udn was sie sagen und schreiben, nicht nur, dass deren gefundene Fehler regelmäßig von Apple dann auch gefixt werden und sie Credit/Dank dafür bekommen und es somit bestätigt wird, dass es diese Fehler eben tatsächlich gegeben hat (sonst hätte Apple nix zu Fixen gehabt und es wäre auch kein entspre. credit an diese Leute notwendig gewesen), sondern Apple gesamten Sicherheits- und Abdichtmaßnahmen, die sie in letzetr Zeit getan haben, sind zuvor von solchen Sicherheitsexperten und -Forschern aufgezählt und benannt worden, dass die bitte doch endlich zur Verbesserung in iOS und OSX einfließen mögen. Und bei jedem Sicherheits- oder Major-Update hat Apple wieder Lücken geschlossen, die DIESE Leute zuvor gefunden und benannt haben und hat Apple Sicherheitskonzepte umgesetzt, die DIESE Leute vorher empfohlen haben.

Was ist schlecht daran? Freue Dich doch! Sie machen durch ihre Arbeit, durch ihre Äußerungen iOS und OSX sicherer! Auch wenn es Dir und Apple unbequem ist, aber deren Arbeit ist WICHTIG und kann nicht hoch genug eingeschätzt und bedankt werden!
Hier den Kübel über denen auszuschütten, trifft nun wirklich die/den Falschen. Wenn nicht solche Leute, wer macht es denn sonst? Du etwa? Ich kann sowas nicht, dazu reicht mein Wissen, meine Expertise nicht.
Weil man sich dann nicht im Gespräch halten kann? Weil der Nimbus des "Experten" Kratzer bekommen kann?

Siehe zuvor Gesagtes. Solche Leute können halt was das Du nicht kannst. Und ich auch nicht. Und sie tragen ganz wesentlich dazu bei, dass Apples Produkte besser werden, besser sind. Nicht, weil sie gegen Apple sind und Apple Produkte nicht mögen. Sondern weil sie Apple Produkte mögen und sie sie eben verstehen bis in letzte Winkel und sie die fachliche Expertise haben, hier aktiv und konstruktiv an deren Verbesserung mitzuhelfen. Von solchen Leuten gibt es leider noch viel zu wenig. Anstatt solchen Leuten dafür dankbar zu sein, dass sie das tun und dass sie Apple diesbzgl. imemr wieder Anlass geben, sich nicht auszuruhen, sondern ihre Produkte weiter zu verbessern und sicherer zu machen, dafür bekommen sie auch noch auf die Ohren. Verkehrte Welt. Firmen stellen solche Leute normalerweise ein machen ihnen Job-Angebote, die sie nicht ablehnen können, um das Ganze von vornherein in-house erledigen zu können, auch Apple stellt solche Leute ein, hat es bzgl. einiger Jailbreaker inkl. des Cydia-Verantwortlichen in der Vergangenheit schon getan. Nicht, um sie mundtot zu machen. Sondern um deren Können in-house einzusetzen, um bessere Produkte zu machen.
Was ist daran schlecht und verurteilenswert? Ich verstehe es nicht.
Wo Schwächen sind, sollen sie gefälligst benannt werden dürfen und gefixt werden! Bevor andere Leute davon Wind bekommen, die das zu Deinem und meinem Nachteil und zum Nachteil von Apple ausnutzen können und auch ausnutzen werden, wenn's nicht rechtzeitig geflickt ist!

"Security by obscurity" ist ein falsches Mantra. Es führt in die Irre, wiegt in falscher Sicherheit und hat oft fatale Folgen. Fehler benennen und auf den Tisch! Offenheit und Transparenz. Im Umgang und in der Kommunikation. Verantwortung überonmmen und gehandelt. Und zwar so rasch es geht. Alles andere ist und wäre unverantwortlich und unseriös. Eben weil "security by obscurity" nicht funktioniert und auch noch nie funktioniert hat. Apple kann es sich nicht leisten, an dieser Front rückständig zu sein. Leider müssen sie oft zur Jagd getrieben werden, teilweise, in dem sie öffentlich zum Handeln gezwungen werden von Leuten, die eben den Finger in die Wunde legen und sich eben aus Verantwortungsgefühl und Mitwisser über bestimmte Lücken so langsam laut räuspern, wenn Apple lange Zeit nichts tut, weil Appel es sonst still aussitzt, als dass sie von selber drauf kommen.

Denn diejenigen, die solche Lücken zu unserer aller Schaden ausnutzen, die behalten ihr Wissen still für sich, die nutzen genau dieses Nichtwissen und dieses öffentliche Nichtwissen schamlos aus. Die gehen nicht zu Apple hin und melden denen was sie gefunden haben und haben den Daumen drauf, dass es gefixt wird und ist. Ein Stefan Esser tut genau das: er findet, meldet, wartet darauf, dass es gefixt ist, räusüert sich, wenn Apple zu lange dafür braucht. Ich bin sehr sehr froh, dass es solche Leute gibt, auch ich möchte gerne ein sicheres Produkt haben. Danke dafür!
0
sierkb05.08.16 18:07
PaulMuadDib:

Apple dankt und würdigt einem Stefan Esser und anderen regelmäßig in seinen Security Release Notes, in dem sie ihn dort als Finder einer oder mehrerer Lücken namentlich nennen und ihm Tribut zollen, weil er sich nicht nur die Mühe gemacht hat, so eine Lücke zu finden, sondern weil er auch noch so ehrlich war und ist und Apple das brav meldet, sodass sie es beheben/fixen/schließen können. Wieso kann Apple ihm und derlei Leuten gegenüber diesen Anstand und diese Größe aufbringen, Du hingegen leider offenbar nicht? Was ist so schwer daran?

Willst Du stattdessen lieber ein schlechteres, unsichereres Produkt haben? Ich jedenfalls möchte das nicht.
0
spike6505.08.16 20:55
marco m.
Dann wisst ihr ja, was ihr am WE zu tun habt!

Geht ja nicht, wenn nur bestimmte Leute an dem "Programm" teilnehmen können / dürfen bzw. eine Entlohnung erwarten dürfen...
0
PaulMuadDib06.08.16 06:33
Kannst du bitte eine Inhaltsangabe von dieser Wall of Text machen? Danke.
0
sierkb06.08.16 10:41
PaulMuadDib
Kannst du bitte eine Inhaltsangabe von dieser Wall of Text machen? Danke.

Tue bitte nicht so, als seiest Du überfordert.
Ich bin mir ziemlich sicher: wenn ich hier eine Lobeshymne auf Apple geschrieben hätte oder ein Ätz-Post gegen die Konkurrenz, sie wäre Dir runtergegangen wie Öl, Du hättest jedes einzelne Wort genossen und inhaliert, und sei es auch noch so lang. Andere hier machen genau das und werden von Dir auch nicht beanstandet. Genug Gegenbeispiele gibt es und gäbe es.
0
sierkb06.08.16 11:01
PaulMuadDib
Kannst du bitte eine Inhaltsangabe von dieser Wall of Text machen? Danke.

Extra für Dich, ganz kurz und prägnant: Du kloppst auf dem Falschen herum! Du kloppst unfairerweise auf jemandem herum, der neben anderen Menschen, die es ihm gleichtun, Apple und letztendlich DIR als Nutzer und Konsument zuarbeitet, der nach besten Kräften und nur Gutes im Sinne habend aktiv mithilft, Apple und damit auch DIR als Nutzer ein gutes bzw. bessereres und sichereres Produkt zu bescheren. Und damit Apples Ruf konstruktiv zu fordern, fördern und zu mehren statt zu dezimieren so wie Du anzunehmen scheinst.
Ist Dir das kurz genug zusammengefasst?

Und mit dem jetzigen Bug Bounty Programm, das er seit Jahren herbeigesehnt und eingefordert hat, wird genau das noch weiter zunehmen, es wird noch mehr Stefan Essers geben, und das kann nur in Apples Interesse sein und kann nur in Deinem und meinem Interesse als Nutzer/Konsument sein.
0
spike6506.08.16 14:24
@sierkb

...vielleicht erreichst Du mit kürzeren, weniger ausgeschmückten Beiträgen mehr...
...nur so ein Gedanke
0
sierkb06.08.16 14:39
spike65:

<OT>
Diese Erfahrung habe ich hier nicht gemacht. Es beschweren sich immer nur diejenigen, die mit mir inhaltlich eh nicht übereinstimmen und die mich nicht mögen, die hängen sich an der Textlänge dann auf. Und da ist es völlig wurscht, ob ich was Längeres schreibe oder ganz kurz. Diejenigen, die mit mir inhaltlich übereinstimmen, die stören sich auch nicht an der Textlänge, finden sie durchaus sogar gut und befürworten diese und sagen das auch öffentlich wie nicht-öffentlich.
Es kommt hier also offenbar sehr drauf an, WER was schreibt und sagt und ob es Pro-Apple oder Contra-Apple ist, ob sich an der Textlänge gestört wird oder nicht.
Es gibt hier Texte, die sind noch deutlich länger als meine, die befassen sich inhaltlich aber Pro-Apple oder Contra-Konkurrenz oder um Pro-Apple-Aktien oder dergleichen. Die können teilweise doppelt so lang sein wie meine Texte, uns sie werden von Einigen verschlungen und gefeiert.

Nein, es liegt nicht an der Textlänge. Die ist nur ein vorgeschobener billiger Vorwand.
</OT>
0
steve.it08.08.16 10:34
@sierkb
Man wird halt leider immer noch als kritischer Apple-Anwender schnell als Störenfried beim "Beweihräuchern" gesehen. Aber das hat sich schon deutlich gebessert bzw. war früher deutlich schlimmer. Da ist man dann trotz fundierter Kritik, Fakten und Quellenangaben mit Pech als Troll hingestellt worden und in diversen Foren gebannt worden von entsprechenden Moderatoren... (meine nicht MTN).
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.