Skąpstwo Apple nie popłaca – nikt nie zgłasza luk 0‑day za marne pieniądze

Jesteś uznanym ekspertem od systemów operacyjnych Apple. Pokilku miesiącach wytężonej pracy znalazłeś w nich błąd, którymógłby pozwolić na obejście zabezpieczeń iPhone’a. Kolejnekilka miesięcy – faktycznie, to działa, masz gotowego exploita,dzięki któremu na iUrządzeniach możesz zdalnie uruchomić dowolnykod. Co robisz dalej? Możesz zgłosić się do Apple, które zaujawnienie tych informacji zapłaci ci całe 50 tysięcy dolarów.Możesz odezwać się do ludzi z szarego rynku, firm takich jakZerodium, które skupują exploity, by pomóc swoim klientom wobronie przed zagrożeniami. Dostaniesz przynajmniej 500 tys.dolarów. Możesz wreszcie odezwać się do NSA albo wielkichorganizacji cyberprzestępczych – te na zakupy exploitów 0-daymają wielomilionowe budżety. Czy ktoś się dziwi więc, że małokto zgłasza Apple swoje odkrycia związane z zagrożeniamibezpieczeństwa?

Program nagradzania badaczy za odkrycie luk w oprogramowaniu Appleuruchomiło bardzo późno, dopiero w sierpniu zeszłego roku.Wcześniej firma z Cupertino mogła liczyć tylko na tych, którzyrobią to dla sławy czy sportu. Nie było ich wielu – poziomzabezpieczeń iOS-a jest tak wysoki, że znalezienie usterekmożliwych do wyexploitowania jest daleko trudniejsze niż w wypadkuinnych systemów. Trudno by było inaczej, gdy producent kontrolujekażdy aspekt urządzenia, zarówno sprzętu jak i oprogramowania.

Taka sytuacja doprowadziła do wyniesienia cen nie tylkoexploitów, ale i samych odkrytych luk, do niebotycznych poziomów naczarnym i szarym rynku. Gdy więc Apple ogłosiło swój programnagród dla badaczy, reakcja sceny była entuzjastyczna – w końcunie każdy ma ochotę na kontakty z ludźmi szemranej reputacji, a zczegoś żyć trzeba. Gdy okazało się, ile za to Apple chce płacić…entuzjazm się ulotnił.

Do 200 tys. dolarów za lukę w firmware pozwalającą naprzejęcie kontroli nad rozruchem iPhone’a. Do 100 tys. dolarów zawydobycie wrażliwych danych chronionych sprzętowo przez SecureEnclave Processor. Do 50 tys. dolarów za uruchomienie dowolnego koduz uprawnieniami kernela. Do 50 tys. dolarów za nieupoważnionydostęp do kont iCloud. Do 25 tys. dolarów za przebicie się przezsandboksa do danych użytkownika – takie stawki zaproponowałoCupertino w odniesieniu do luk w iOS-ie i macOS-ie. Zgromadzeni nakonferencji Black Hat 2016 nie

Dla niewtajemniczonych to mogą być duże pieniądze. Wystarczyjednak pomyśleć, że chodzi o rezultaty setek godzin pracywybitnych specjalistów w ezoterycznej dziedzinie, dzięki którymrośnie bezpieczeństwo produktów jednej z najbogatszych firmświata, by widać było, że jest coś nie tak. I faktycznie –program, do którego można przystąpić tylko na imiennezaproszenie, nie przyniósł żadnych rezultatów. Nikt się nieschylił po grosze rzucane przez Apple. Pieniądze są znacznielepsze, tyle że gdzie indziej.

Gdy w zeszłym roku Apple zmagało się z prawnikami FBI,odmawiając pomocy śledczym w dostaniu się do danychprzechowywanych na iPhonie zamachowca z San Bernardino, posiadaczewiedzy o tym, jak się do danych tych dostać cierpliwie czekali. Wkońcu FBI dało sobie spokój z Apple i zaoferowało pieniądzeniezależnym badaczom. Podobno wzięli je badacze z Izraela –którzy za atak pozwalający włamać się do iPhone’a 5c z iOS-em9 wzięli ponad 1,2 mln dolarów.

O takich kwotach mówią wszyscy. Wspomniane na początku Zerodiumza nowego jailbreaka na iOS-a zapłaci nawet 1,5 mln dolarów. ExodusIntelligence w swoich programie partnerskich gotowe jest zapłacićza podatności w iOS-ie 9.3 i nowszych do 500 tys. dolarów. Nie sąto kwoty bez pokrycia – w 2015 roku Zerodium zapłaciło komuśmilion dolarów za zdalny jailbreak iOS-a 9.1, przeprowadzony przezprzeglądarkę.

Nie dziwi więc, że gdy we wrześniu 2016 roku znany ekspert odApple Jonathan Zdziarski przeprowadził sondaż, pytającankietowanych, komu by sprzedali odkryty przez siebie 0-day, czyZerodium, czy Apple, 67% odpowiedziało, że woli Zerodium.

To jednak nie wszystko. Także ci badacze, których nie interesująpieniądze, nie czują potrzeby pomagania firmie z Cupertino.Niektórzy po prostu nie chcą, by bugi zniknęły z systemu, bowykorzystują je do swoich własnych badań. Znany twórcajailbreaków Luca Todesco stwierdził, że wyjawiając swoje odkryciaApple, zniszczyłby swoją przyszłość, wartą o wiele więcej niż50 tys. dolarów. Odkrytych bugów się więc nie raportuje, by niekomplikować sobie życia. Apple nie udostępnia już dziś nikomuurządzeń deweloperskich, pozbawionych niektórych zabezpieczeń,które służyły kiedyś zaproszonym badaczom do prac w zakresiebezpieczeństwa.

Co z tego wynika dla Zwykłych Użytkowników sprzętu Apple’a?Póki co, o ile nie są obiektem zainteresowania FBI, właściwie tonic. Zwykłych cyberprzestępców też nie stać na exploity w takichcenach. Gorzej, gdy pojawi się na rynku jakiś poważny gracz, któryuzna, że masowy cyberatak wymierzony w posiadaczy sprzętu Applemoże mieć wartość strategiczną. Wtedy Apple i jego użytkownicybędą mogli tylko płakać nad skąpstwem Nadgryzionego Jabłka.