Beveiligingsfouten in Apple-apparaten worden gewaardeerd door hackers.

SAN FRANCISCO - Een derde partij ging naar de FBI met claims van de mogelijkheid om de iphone te unlocken., velen in de security-industrie zeiden dat ze waren niet verbaasd waren zo hebben ook grote bedrijven als McAffee hulp aangeboden.

De stappen die Apple heeft genomen omtrent de communicatie over deze iphone en de retoriek aangaande de privacy van klanten zeggen experts dat het bedrijf weinig doet aan het beveiligen van hun systemen als je kijkt naar de concurrenten. Als een hacker een gebrek vindt in Apple's code hebben ze weinig prikkels om deze te delen met Apple.

Google, Microsoft , Facebook, Twitter, Mozilla en vele andere tech bedrijven betalen hackers als het gaat om bugs in hun producten en systemen. Uber begon een nieuwe bug bounty-programma op dinsdag.  Google heeft externe hackers  meer dan $ 6.000.000 betaald, omdat het een bug bounty aangekondigd in 2010, en het bedrijf heeft  vorige week een verdubbeling van de  beloning doorgevoerd van  $ 100.000 voor iedereen die kan komen met bugs of kwetsbaarheden  in de Chromebooks.



Apple die ooit een  relatief sterke beveiliging had  door de jaren heen is duidelijk over de manier waarop de beveiliging  een nooit eindigende kat-en-muis-spel is . Apple is niet bereid om deel te nemen in een financieel wapenwedloop en te betalen voor code exploits.

Het bedrijf zou hackers iets meer kunnen bieden dan een gouden ster te geven. Wanneer hackers ernstige gebreken in haar producten vinden, kunnen ze zien dat hun naam vermeld staat op de website van het bedrijf , maar dat is het. Dat is een slap aftreksel van wat hackers kunnen verwachten als ze een Apple gebrekken  in de software kunnen verkopen in  een bloeiende ondergrondse markt , waar een groeiend aantal bedrijven en overheidsinstellingen  bereid zijn om hackers fraai te betalen.

De openbaarmaking door de Amerikaanse overheid maandag, dat een onbekende derde de FBI had  benaderd - en niet Apple - om  te helpen bij het ​​openen van een controversiële iPhone  benadrukt hoe Apple als bedrijf omgaat als het gaat om bug-jacht inspanningen en veiligheid anders dan de rest van de tech industrie.

Maar security experts, vooral die met een belang in een dergelijke bug programma's, zeiden dat Apple zou nu meerzou  kunnen doen, vooral in deze tijd waarin de conventies van het vinden van bugs en de vaststelling van hen hebben veranderd en dus aanpassen.



Alleen deze week, de onderzoekers van de Johns Hopkins University ontdekt een fout die het mogelijk maken aanvallers om de inhoud van de foto's en video's in bijlage in Apple's iMessage-programma decoderen. De onderzoekers heeft deze kwetsbaarheid doorgegeven aan Apple

"Vooral nu Apple inzet  verhoogt met woorden als versleuteling en privacy, zullen ze moeten gaan concurreren in deze moderene wereld . ze moeten hun aanpak moderniseren", aldus Katie Moussouris, een chief beleidsmedewerker bij HackerOne, die bedrijven als Yahoo, Dropbox en nu Uber betalen om hun bug bounty's te beheren.

De identiteit van de derde partij die de FBI benaderde  met de mogelijke manier om de iPhone te ontgrendelen - die werd gebruikt door een van de aanvallers in een massale schietpartij in San Bernardino, Californië, vorig jaar -. De aankondiging  van de derde partij stopt  in ieder geval tijdelijk een omstreden zaak tussen Apple en de Amerikaanse regering over de vraag of het bedrijf het toestel moet unlocken om de rechtshandhaving te helpen.

Het ministerie van Justitie weigert de derde persoon of organisatie te noemen, of om de voorgestelde methode voor het breken in het apparaat te beschrijven. De derde partij heeft ongetwijfeld veel redenen om dit niet te delen met Apple.

In het verleden waren Microsoft's systemen vaker het doelwit voor kwaadwillende-minded hackers, grotendeels als gevolg van de prevalentie van haar producten. Maar als Microsoft begon de hacking community te omarmen, de veiligheid verbeterd. Microsoft als platform kent om dit moment veel minder security issues dan Apple die op de eerste plaats staat.

Nu Apple desktops en mobiele telefoons meer marktaandeel hebben gewonnen, en omdat de klanten  praat gaan over de veiligheid van Apple en meer en meer van hun persoonsgegevens aan hun iPhones toevertrouwen, zijn Apple-producten veel meer waardevolle punten voor criminelen en spionnen geworden.

Een Apple medewerker refereert daarbij aan een redactionele stuk  door Craig Federighi, de bedrijf senior vice president voor software engineering, waarin hij schreef genoemd een Apple-woordvoerster, "Beveiliging is een eindeloze race -. een die je kan leiden, maar nooit slagvaardig te winnen"

"Ons team moet onvermoeibaar werken om een ​​stap voor criminele aanvallers die proberen te wrikken in persoonlijke informatie te blijven," zei de heer Federighi. "Ondanks onze beste inspanningen, niets is 100 procent veilig."

Apple is al lange tijd minder zichtbaar in de security gemeenschap in vergelijking met andere tech bedrijven zoals BlackBerry . Het bedrijf heeft weg teruggeschrokken van bug bounty-programma's en in plaats daarvan vertrouwden op grote testprogramma's en het werk van zijn veiligheid team om kwetsbaarheden te spotten, deels omdat het is geneigd om gelijke tred te houden met een financiële wapenwedloop van het betalen voor bugs, op basis van drie voormalige en huidige medewerkers, die op voorwaarde van anonimiteit sprak, omdat ze niet bevoegd om in het openbaar over de beveiliging zaken spreken.



Apple heeft gezegd dat het zal vechten voor meer informatie over de fout in de software of hardware die de derde partij heeft ingediend bij de rechtshandhaving . Een senior executive zei in een pers conference call met verslaggevers dat als de overheid geen succes heeft met  de methode ze Apple gaan dwingen om te helpen in te breken in de telefoon.

Indien de derde methode werk doet, kan de overheid een gerechtelijk bevel eist dat Apple de beveiliging te verzwakken ontslaan, maar houd het proces het gebruikt in de telefoon te breken onder zegel. In dat geval zou Apple geen enkele manier te weten komen hoe de overheid  in de software of de hardware kan komen.

Exploits in Apple's code worden steeds meer begeerde na verloop van tijd, vooral omdat zijn mobiele apparaten alomtegenwoordig zijn geworden, met een ondergrondse ecosysteem van makelaars en aannemers bereid zijn om vele dollar betalen voor hen.

Gebreken in de mobiele apparaten van Apple kan doorgaans een bedrag opleveren van een  $ 1 miljoen. Afgelopen september, een nichekantoor in Washington, genaamd Zerodium, die gebreken verkoopt aan regeringen en bedrijven, kondigde een $ 1.000.000 bounty voor iedereen die exploit in Apple's iOS 9 mobiele besturingssysteem kon vinden - hetzelfde besturingssysteem wat  staat op de iPhone van de San Bernardino Terrorist.  In november gaf  Zerodium aan dat eenteam van meerdere geheime hackers met succes de bounty hadden geclaimd.

Chaouki Bekrar, de stichter van Zerodium, zei dat zijn bedrijf  niet de  partij was die de FBI helpt, maar zouden hulp ook niet weigeren.
"Voor elke Zerodium, zijn er duizend andere organisaties, zoals Zerodium dat veel minder vocale over het doen van wat ze doen en zullen onderzoekers die dit spul om het geheim te houden vinden betalen", zegt Casey Ellis, de stichter van BugCrowd, een bedrijf in San Franciso dat helpt verkopers  bug bounty's te beheren.

De verhitte strijd tussen de overheid en Apple heeft is niet in het voordeel van Apple ,doordat de ondergrondse markt overspoeld  wordt door code flaws. Door de FBI  niet  te helpen was er bekendheid dat de FBI problemen had en dit was dus een blanco cheque voor hackers als men dit wel zou bereiken, aldus Jon Oberheide, de chief technology officer van Duo veiligheid, een cloud beveiligingsbedrijf.

Sommige security onderzoekers zeggen dat Apple geen enkele beloning kan bieden die vergelijkbaar is met de ondergrondse markt  . Apple wacht zo lang dat de zwarte markt voor zijn gebreken in macos en ios zeer lucratief is geworden.  Apple is gewoon te laat en kan niks meer bieden zoals anderen concurrenten dat doen en mede door de anti houding van hackers tegen Apple.

Tot Slot NSA over Apple.

Apple can embrace security researchers, or try to facilitate programs that will secure its operating system, but it’s never going to be able to compete with what is going on behind the scenes in the black market,” said Jay Kaplan, a former N.S.A. analyst and co-founder of Synack, a company that deploys hackers to weed out vulnerabilities in clients’ systems. “It’s just not going to happen.

Als je gaat voor veiligheid en privacy kies je natuurlijk BlackBerry.

Het artikel is vrij vertaal en gepubliceerd in de New York Times

Reacties