Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsSicherheitslücken: Apples Bug Bounty ist ein Flop
Apples im September 2016 gestartetes Bug-Bounty-Programm stößt einem Bericht zufolge auf wenig Resonanz. Der Hauptgrund für das geringe Interesse seien die vergleichsweise niedrigen Honorare, die Apple für gefundene Sicherheitslücken zahlt. Auf dem Schwarzmarkt lassen sich Experten zufolge weit höhere Beträge erzielen.
Daran sieht man mal wieder was das für ein Unternehmen ist, auf der einen Seite die mit Abstand teuersten Produkte verkaufen und auf der anderen Seite an jeder Ecke rumgeizen. Die App Store Ausschüttungen haben sie auch gesenkt. Aber bei den niedrigen Gewinnen absolut verständlich.
An die kommen sie aber nicht so einfach ran. Die Lagern irgendwo Off-Shore. Wenn die in den USA genutzt werden wollen, müssen die noch versteuert werden. Zumindest sofern ich mich richtig erinnere.
Ka. Also für mich würde es aus moralischen Gründen nicht in Frage kommen, die Sachen auf dem Schwarzmarkt zu verticken. Ist auch eine Sache die man den Sicherheitslückensuchern vorwerfen könnte: Absolute Geldgeilheit.
Ist ja auch kein Wunder, wenn ganze Regierungen indirekt auf die Lücken mitbieten und damit die Preise hochtrieben. Solang die lieben Geheimdienste dieses Verhalten für vernünftig halten, wird sich da kaum etwas ändern. Da kann Apple wahrscheinlich noch so viel Geld anbieten...
Daran sieht man mal wieder was das für ein Unternehmen ist, auf der einen Seite die mit Abstand teuersten Produkte verkaufen und auf der anderen Seite an jeder Ecke rumgeizen...
Wenn jemand jedoch wirklich in der Lage ist, relevante Sicherheitslücken zu erkennen würde ich ihn unbefristet einstellen anstatt ne Einmalzahlung zu veranlassen.
Nein, das Geld befindet sich zu über 90% in den USA.
Die Anlage erfolgt ziemlich konservativ größtenteils in US-Firmenobligationen (z.Z. 148 Mrd.$) und US-Staatsanleihen (66 Mrd.$).
Das Geld ist dabei trotzdem steuerrechtlich nicht vereinnahmt und Apple kann deshalb damit in den USA tatsächlich nicht viel anfangen außer es vermehren. Außerhalb der USA ist es aber einsetzbar und die 1,7 Mrd.€ für die geplanten europäschen Data Center kommen ganz bestimmt nicht von US-Konten...
CR4NK schrieb:
Wenn jemand jedoch wirklich in der Lage ist, relevante Sicherheitslücken zu erkennen würde ich ihn unbefristet einstellen anstatt ne Einmalzahlung zu veranlassen.
An den Vergütungen sieht man, dass Bug Bountys höchstens Symbolcharachter haben. Alibi Programme um zu zeigen, "seht her, wir sind um eure Sichherheit besorgt". Regierungen, Dikaturen haben erhebliches Interesse an solchen Lücken (siehe Pegasus bei dem Menschenrechtsaktivisten, FBI (Fall Bostonattentat) etc) und Geld spielt bei denen keine Rolle.
smalM schrieb:
Nein, das Geld befindet sich zu über 90% in den USA.
Die Anlage erfolgt ziemlich konservativ größtenteils in US-Firmenobligationen (z.Z. 148 Mrd.$) und US-Staatsanleihen (66 Mrd.$).
Das Geld ist dabei trotzdem steuerrechtlich nicht vereinnahmt und Apple kann deshalb damit in den USA tatsächlich nicht viel anfangen außer es vermehren. Außerhalb der USA ist es aber einsetzbar und die 1,7 Mrd.€ für die geplanten europäschen Data Center kommen ganz bestimmt nicht von US-Konten...
Er meint sicher die Cashreserven die in irgendeinem Steuerparadies gebunkert liegen. Aber es stimmt Apple würde in den USA Anleihen emitieren um Kapital zu holen. Ist Steuerlich günstiger.
[...]Wenn jemand jedoch wirklich in der Lage ist, relevante Sicherheitslücken zu erkennen würde ich ihn unbefristet einstellen anstatt ne Einmalzahlung zu veranlassen.
In diesem Bereich gibt es einen recht großen Teil an Freischaffenden, denen Festanstellungen nicht attraktiv erscheinen. Wobei finanzielle Anreize oft nicht ziehen, da das Einkommensniveau solcher Experten meist schon recht hoch ist und sich lieber die Freiheit gegönnt wird anstatt noch mehr Kohle.
Auch will man solche Experten nicht unbedingt in der eigenen Firma haben. Deren Fähigkeiten kommen ja auch daher, dass sich da mit allem möglichem Kram beschäftigt wird. In einer Firma mit vergleichsweise starren Dienstanweisungen verkümmert da das KnowHow. Das letzte Chaosradio zu "Intrusion Detection und Incident Response" geht da etwas in die Richtung. http://chaosradio.ccc.de/cr236.html
Ergänzung ()
Lusche1234 schrieb:
wenn das wirklich so sein sollte, warum gibt es dann eigentlich keinen aktuellen jailbreak?
Wenn es einen Jailbreak gibt, dann ist der wertvoll. Bei der Veröffentlichung wird Apple sehr schnell daran arbeiten, dass alle entsprechenden Lücken gefixt werden. Damit wird der Exploit wertlos. Da sich Marktpreise etabliert haben, die den initialen Findern bis zu US$ 1,5Mio. vom 0day-Händler einbringen. Wobei die Händler diese Exploits dann natürlich auch mit deutlichen Aufschlägen verkaufen. Da steckt einfach so viel Geld dahinter, dass da nur noch eine Minderheit Exploits frei zugänglich macht und verheizt.
Ansonsten werden Angriffe auf iOS die einem Rootrechte verschaffen zunehmend schwerer.
Daran sieht man, dass an der News was nicht stimmt. Eine Quelle hat wohl erfahren, dass das Programm von Apple nicht oder kaum genutzt wird und aussoziiert damit gleich, dass Apple zu wenig Geld zahlt, weil andere Firma mehr zahlen bzw. Behörden etc. noch mehr zahlen. Alles einfach blödsinn. Das iOS eines der sichersten Betriebssysteme ist, weiß ja eigentlich jeder. Dementsprechend ist es auch schwer Lücken dafür zu finden. Diese Mühe machen sich halt kaum welche. Wie du ja schon sagst, gibt es ja kaum aktuelle Jailbreaks, also kann es ja nicht sein, dass die Lücken an die Jailbreak-Szene verkauft werden.
Die NSA zahlt einfach besser. Wer glaubt, IOS 10 ist durch ein nicht genutztes BUG Bounty System "100% Bug Free", der glaubt auch an den Weihnachtsmann.
Eine Sicherheitslücke im "ungejailbaren" IOS10 ist weit mehr wert, als die lächerlichen 200.000$.
Die werden ja auch nicht an die Jailbreakszene verkauft sondern an Geheimdienste bzw. dessen Zulieferfirmen wie Gamma Systems: Die zahlen buchstäblich Millionen. Die Jailbreakszene hingegen zahlt nix, die machen das aus Spaß am Hacken. Aber wenn man natürlich Millionen fürs Hacken bekommt, wird auch jeder Jailbreaker schwach und deswegen gibts auch keine öffentlichen Jailbreaks mehr.
Und "iOS eines der sichersten Betriebssysteme" selten so ein Geschwafel gelesen.
PS: die Hardwareplattform "IPhone" ist allerdings ziemlich sicher, mit die sicherste, vor allem unter den gebräuchlichen Smartphones. Physical accees trumps everything gilt natürlich trotzdem, nur ist der Aufwand ungleich höher.
Aber das ist doch dann auch der einzige tatsächliche Gegenwert? Wenn der Exploit nicht genutzt wird warum sollte ihn jemand kaufen? Zumal man ja in der Vergangenheut gesehen hat das ein kostenpflichtiger Jailbreak auch nicht funktioniert.