I cosiddetti “bug bounty” non sono certo una novità nel mondo della tecnologia: spesso e volentieri le grandi software house offrono una ricompensa notevole a chi è in grado di scovare e/o vulnerabilità all’interno dei propri prodotti software, alzando così le possibilità di rilasciare con l’andar del tempo aggiornamenti che possano rendere più sicuri i prodotti.
Apple non dispone di un programma del genere, infatti la notizia è che l’enorme premio per la scoperta di eventuali vulnerabilità in iOS 9 non proverrà dalle casse di Cupertino ma da Chaouki Bekrar, fondatore di Zerodium e celeberrimo commerciante di zero-day: sostanzialmente costui offre 3 grossi premi da 1 milione di dollari a chi, entro il 30 Ottobre, sarà in grado di trovare il modo di accedere da remoto a iOS 9 sfruttando Safari, Google Chrome o messaggi (sia testuali che multimediali).
Una ricca ricompensa per al più tre fortunati esperti di sicurezza, che dovranno riuscire a smantellare quello che a detta di Bekrar è “il sistema operativo per dispositivi mobile più sicuro di tutti”. Qualcuno potrebbe pensare che il “commerciante” provvederà poi a vendere la o le vulnerabilità scoperte ad Apple per un prezzo considerevole… ma in realtà potrebbe non essere così.
Chi conosce un po’ i precedenti di Bekrar e della sua startup sa che tra la clientela non figurano soltanto le software house creatrici dei programmi fallati ma anche le agenzie di intelligence mondiali, per le quali conoscere exploit e vulnerabilità sconosciuti praticamente a chiunque altro rappresenta la strategia di base per determinati tipi di lavoro. Bekrar ha infatti dichiarato che i dati sugli exploit
Verranno forniti ai nostri clienti – organizzazioni governative e compagnie incluse nella lista di Fortune 500 – con i provvedimenti di sicurezza del caso.
E, ovviamente, i dettagli su eventuali exploit o vulnerabilità non verranno mai resi pubblici.
Secondo Jonathan Zdziarski, esperto di sicurezza che da anni segue il mondo Apple, la portata della ricompensa farebbe pensare ad un finanziamento da parte di Governi meno “discreti” dei soliti noti.
L’unica buona ragione per pagare così tanto la scoperta di un bug del genere è uno sfruttamento su larga scala (piuttosto che riferirlo ad Apple perché vi ponga rimedio)
spiega Zdziarski.
Il fine giustifica i mezzi? Ai posteri l’ardua sentenza….