Apple Mulai Mengadakan Program Bug Bounty dengan Imbalan Besar

Apple akan memulai program bug bounty (penemu kelemahan sistem) bagi para peneliti yang menemukan kerentanan kritis di iOS atau iCloud dan menawarkan hadiah besar.

Apple belum pernah lagi menggunakan kata "one more thing" dalam publikasinya sejak Steve Jobs meninggal, tapi kalimat tersebut muncul pada acara Black Hat 2016 untuk mengumumkan Apple Security Bounty Program.

Kepala teknik keamanan dan arsitektur Apple, mengatakan bahwa perusahaan Apple akan mulai menawarkan imbalan untuk mengetahui untuk menemukan kerentanan kritis pada iOS dan iCloud.

Pihak Apple telah mendengar secara konsisten baik dari tim Apple sendiri dan juga dari para peneliti secara langsung, bahwa kerentanan keamanan yang paling penting semakin sulit ditemukan. Jadi, program Bug Bounty Apple akan menghargai para peneliti yang benar-benar dapat menemukan kerentanan kritis Apple dan pihak Apple akan membuatnya temuan tersebut menjadi prioritas utama untuk diselesaikan secepat mungkin.

Jenis Hadiah dari Apple untuk Para Peserta Pemburu Kelemahan Sistem


Program pemburu kerentanan Apple akan menawarkan 5 kategori penghargaan - 3  untuk kerentanan kritis yang ditemukan di iOS, 1 untuk akses tidak sah ke data iCloud di server Apple dan 1 untuk akses dari proses sandboxed ke data pengguna di luar sandbox.

Imbalan tertingi yang ditawarkan sekitar Rp. 2.6 milyar untuk kecacatan komponen firmware secure boot di iOS dan sekitar Rp. 1.3 milyar untuk mengekstraksi data  rahasia dari prosesor Enclave, sekitar Rp. 650 juta untuk eksekusi kode secara tidak sah mealui akses kernel atau akses iCloud yang tidak sah, dan ekitar Rp. 375 juta untuk mengakses data pengguna dari dalam proses sandboxed.


Pihak Apple percaya bahwa jumlah pembayaran tersebut sepadan dengan tingkat kesulitan hacking kedalam beberapa sistem tersebut. Sumbangan bisa dua kali lipat jika peneliti memilih untuk menyumbangkannya ke badan amal. Jumlah pembayaran yang tepat akan ditentukan setelah tim engineering meninjau laporan aktual yang diajukan.

Apple akan memberikan pengakuan publik bagi peneliti, kecuali jika tak ingin, dan penghargaan akan tergantung pada faktor-faktor seperti dampak kepada pengguna.

Program bug bounty akan ditayangkan pada bulan September ini dan akan menampilkan sistem undangan. Apple akan mengundang beberapa lusin peneliti untuk berpartisipasi dalam program ini pada awalnya, tetapi akan membuka program untuk seorang peneliti luar yang menyerahkan kerentanan kritis yang dianggap layak untuk mendapat hadiah, mereka akan menerima temuan tersebut dan juga diminta untuk mengikuti program ini.

Memang, akhir-akhir ini keamanan cloud mengalami eskalasi yang cukup signifikan seperti yang dilaporkan oleh beberapa perusahan keamanan IT. Dimana 900 juta perangkat android juga terancam diretas dengan exploitasi quadrooter yang gila-gila-an hingga dapat mematikan dan menyalakan kamera.

Apakah konsep Program bug bounty efektif?


Pertanyaan yang timbul pada fenomena "Bug Bounty Program" ini selanjutnya adalah apakah dengan mengadakan program seperti ini yang seperti diadakan Bukalapak.Com tidak mengandung kecacatan, apakah efektif, dan sebagainya.

Google, yang pertama kali meluncurkan program Pemburu Kerentanan Sistem pada tahun 2010, menawarkan sumber daya bagi para peneliti untuk membantu merampingkan proses pengiriman kerentanan. Sekitar 90% dari pengajuan yang diterima melalui formulir pelaporan kerentanan, akhirnya hanya sedikit yang dianggap memiliki signifikansi praktis untuk keamanan produk.

Apakah program bug bounty hanya mengumpulkan data kerentanan? Imbalan moneter yang berlimpah umumnya ditujukan untuk kerentanan teknis yang dapat menyebabkan masalah pada data dan privasi sensitif.

Manfaat program Bug Ounty besar, tetapi bagaimana resikonya ?

Ajang seperti Black Hat juga merupakan tempat di mana vendor ingin mengundang masalah. Prosesor kartu kredit mengumumkan program keamanan bug bounty-nya, yang dijalankan oleh HackerOne, pada 2014. Microsoft meluncurkan program bug bounty-nya pada konvensi Las Vegas di tahun 2013. Sementara kemungkinan program bug bounty di dipromosikan oleh event Black Hat dan konverensi keamanan IT lainnya, kenyataannya adalah kebanyakan organisasi masih belum memiliki mekanisme yang memungkinkan "orang luar" untuk melaporkan kelemahan keamanan dengan cara yang aman.

Manfaat program penghargaan kerentanan memang besar, tetapi begitu juga risikonya. Hal ini tidak selalu jelas dengan siapa anda berurusan, perusahaan tidak tahu apakah anda bekerja dengan pihak putih atau pihak hitam.

Bagaimana perusahaan dapat menjaga pertahanan berdasarkan ancaman aktual dan kerentanan daripada investasi dalam langkah-langkah teknologi yang lebih luas?

Jawaban tersebut masih sulit dijawab, manajemen risiko dan pengetahuan tentang operasi bisnis menambah ke daftar panjang CISO untuk hal-hal yang perlu dikhawatirkan. Sehingga, program bug bounty Apple ini menambah deretan sejarah dalam dunia keamanan IT.

Komentar

Postingan Populer