I bug dell'iPhone sono troppo preziosi per essere segnalati ad Apple
Bild: Chris Kindred | Motherboard

FYI.

This story is over 5 years old.

Tecnologia

I bug dell'iPhone sono troppo preziosi per essere segnalati ad Apple

Ad oggi, i ricercatori a cui Apple ha chiesto di inviare le loro segnalazioni di bug hanno preferito tenerle per loro.

Nell'agosto del 2016, il capo della sicurezza di Apple Ivan Krstic ha rubato la scena durante una delle più grandi conferenze in ambito security del mondo con un annuncio inaspettato.

"Voglio condividere una notizia con voi," ha detto Krstic durante la conferenza Black Hat, poco prima di annunciare che Apple stava per lanciare un programma di ricerca bug pensato per ricompensare gli hacker che avrebbero segnalate delle falle all'azienda.

Pubblicità

La folla è esplosa in un applauso entusiasta. Quasi un anno dopo, però, il programma fatica a prendere ritmo visto che mancano prove pubbliche che un qualche hacker abbia effettivamente riscosso una ricompensa per una segnalazione di bug.

La sicurezza dell'iPhone è così solida che è difficile trovare un qualche tipo di spiraglio per intrufolarsi: per questo motivo, i bug presenti nei circuito di mercato para-legali hanno prezzi assurdi. I ricercatori a cui ho parlato in genere sono piuttosto riluttanti al segnalare effettivamente i bug, sia per il loro enorme valore di mercato, sia perché segnalarli potrebbe impedire loro di effettuare ulteriori ricerche.

"La gente può guadagnare di più se vende i loro bug a terze parti," ha spiegato Nikias Bassen, ricercatore in ambito security per l'azienda Zimperium, che si è tenuto al programma di Apple l'anno scorso. "Se lo fai solo per i soldi, difficilmente deciderai di segnalare i tuoi bug direttamente ad Apple."

Patrick Wardle, un ex hacker dell'NSA e ricercatore per Synack, specializzato ora in MacOS, è d'accordo con Bassen. Ha spiegato che i bug per iOS sono "troppo preziosi per esseri segnalati da Apple."

"Se lo fai solo per i soldi, difficilmente deciderai di segnalare i tuoi bug direttamente ad Apple."

Oltre a Wardle e Bassen, ho parlato con altri otto cacciatori di bug presenti nel programma, dopo aver garantito loro l'anonimato, condizione che hanno richiesto per poter parlare liberamente dei dettagli confidenziali del programma. Ognuno di loro ha detto di dover ancora segnalare dei bug ad Apple, e nessuno di loro è a conoscenza di ricercatori che l'hanno già fatto. Apple non ha voluto inviarci un commento a riguardo.

Pubblicità

Nel settembre del 2016, Apple ha fatto volare Wardle, il noto jailbreaker iPhone Luca Todesco e un piccolo gruppo selezionato di hacker white-hat al suo quartier generale a Cupertino.

Durante il loro soggiorno, Apple ha proposto ai ricercatori di collaborare con l'azienda e di unirsi al programma di ricerca dei bug. Gli impiegati Apple in ambito security hanno presentato le loro idee, hanno portato i ricercatori a cena, e hanno scambiato quattro chiacchiere circa il loro lavoro. Anche Craig Federighi, vice presidente del reparto software engineering di Apple, ha fatto una comparsata a sorpresa per incontrare i ricercatori, secondo due persone che erano lì presenti.

È stato un cambiamento consistente, considerato come ricercatori ed esperti in sicurezza si lamentassero da tempo del fatto che Apple fosse l'ultima grossa azienda tra i giganti tech ancora senza un programma di bug bounty. Microsoft, Google, Facebook, e infinite altre piccole aziende hanno programmi del genere da anni, dove ogni tanto offrono ricompense lucrative ad hacker indipendenti che scelgono di segnalare le vulnerabilità anziché usarle per intenti nefasti.

"Apple non ama appoggiare in pieno qualcosa — compresi i programmi di bug bounty — finché non corrispondono a un ideale preciso. Sono perfezionisti," mi ha detto un ex dipendente Apple che ha lavorato nel reparto sicurezza e che ha chiesto di restare anonimo per via dell'accordo di non divulgazione che ha firmato.

Pubblicità

L'anno scorso, Apple ha battagliato contro l'FBI per mesi, mentre faceva resistenza all'ordine di aiutare i federali ad accedere all'iPhone del responsabile della strage di San Bernardino, che ha ucciso 14 persone e ne ha ferite 22 a dicembre 2015. L'FBI è riuscita nel suo intento alla fine, ma senza l'aiuto di Apple. Invece, l'agenzia governativa ha pagato lautamente un exploit trovato da un gruppo di ricercatori anonimi e indipendenti. Come ha scritto al tempo il New York Times, forse una delle ragioni per cui gli hacker avevano exploit da vendere all'FBI era perché niente li incentivava a segnalarli invece ad Apple.

Nonostante l'annuncio del programma fosse pubblico, quasi tutto il resto è stato gestito con la tipica segretezza di Apple. Per ora, il programma è solo su invito.

I ricercatori che hanno ricevuto un invito a unirsi, hanno avuto la possibilità di guadagnare ricompense da 25.000 dollari ai 200.000, per bug trovati su iOS e su MacOS, stando al discorso di Krstic.

Una slide estrapolata dalla presentazione di Ivan Krstic's a Black Hat nel 2016. (Immagine: Apple)

Potrebbero sembrare un sacco di soldi. Ma una delle ragioni per cui i ricercatori con cui abbiamo parlato non fremevano dalla voglia di segnalare i bug a Apple è che le ricompense dell'azienda non sono alte quanto potrebbero o magari dovrebbero essere. Nel mercato grigio, privato, dove aziende come Zerodium comprano exploit dai ricercatori e li rivendono ai propri clienti, un metodo che comprende svariati bug e che può fare jailbreak di un iPhone è valutato intorno al milione e mezzo di dollari. Un'altra azienda, Exodus Intelligence, offre fino a 500.000 dollari per exploit simili su iOS. Queste aziende sostengono di vendere solo a grandi aziende per aiutarle a proteggere i loro network, o alle forze dell'ordine e alle agenzie governative per aiutarle ad hackerare i dispositivi di obiettivi alto profilo.

Pubblicità

È possibile che qualche hacker si sia approfittato del programma di bug bounty di Apple e abbia scelto banalmente di non discuterne in pubblico, ma l'accordo che Apple ha chiesto ai ricercatori di firmare se vogliono partecipare nel programma non vietava strettamente di discutere gli exploit che avessero trovato. L'accordo, che uno dei ricercatori mi ha mostrato, chiede solo ai ricercatori di aspettare fino a che il bug non sia sistemato e che i ricercatori "condividano" con Apple ciò che vogliono dire prima di discutere la vulnerabilità in pubblico. Normalmente, i ricercatori sono ben felici di ricevere riconoscimento pubblico per le proprie scoperte, sia per un sacrosanto diritto al vanto, sia perché contribuisce a costruire il loro curriculum come hacker abbastanza bravi da trovare i difetti in alcuni dei software più sicuri al mondo.

"Apple deve competere con il valore vero del bug che vogliono comprare," mi ha detto Dan Guido, il CEO dell'azienda di ricerca in cybersicurezza Trail of Bits. "Stanno cercando di comprare roba che può mandare K.O. un dispositivo per 200.000 dollari, quando vale semplicemente molto di più."

In altre parole, il gioco dell'economia del bug bounty non vale la candela.

Guido, che ha fatto ricerche sulla sicurezza di iOS in passato, ha spiegato che i sistemi Apple sono così sicuri che trovare un bug che valga 200.000 dollari è una prospettiva improbabile anche spendendo settimane o mesi non-stop alla sua ricerca. Ecco perché molti non si preoccupano di mettersi cercarlo, per evitare di sprecare un sacco di tempo e non guadagnarci niente.

Pubblicità

"Devi essere completamente rincoglionito per bruciarti un bug scoperto da te."

Ma non si tratta solo della ricompensa immediata. Per i ricercatori, IOS è un sistema operativo talmente sicuro e complesso che per svolgere un po' di semplici ricerche su di esso, bisogna scoprire diversi bug zero-day o addirittura realizzare dei jailbreak completi. In altre parole, servono dei bug sconosciuti anche solo per trovare bug in altre parti del sistema operativo che altrimenti potrebbero risultare inaccessibili.

Questo è il motivo per cui in diversi preferiscono tenersi la conoscenza dei bug che scoprono per continuare a svolgere altre ricerche piuttosto che mettersi i bastoni tra le ruote da soli per una ricompensa di poche migliaia di dollari.

"Devi essere completamente rincoglionito per bruciarti un bug scoperto da te," mi ha spiegato Luca Todesco, un noto jailbreaker di iPhone. "Perché ti rovineresti il futuro… Se spreco i bug che scopro, non sono in grado di continuare la mia ricerca."

(Immagine: Lorenzo Franceschi-Bicchierai/Motherboard)

"O riporti i bug che hai scovato, oppure decidi di non complicarti la vita e continuare a fare ricerca," ha spiegato un altro ricercatore invitato a prendere parte al programma di bug bounty di Apple. "Oppure, ti rivolgi a un'azienda indipendente che paga i bug in modo da non sprecare due o tre bug per una ricompensa di soli 50.000 dollari."

Quando i ricercatori hanno visitato Cupertino, hanno chiesto alla squadra di sicurezza di Apple di fornirgli degli iPhone speciali più semplici da hackerare. Su questi dispositivi sarebbero state disabilitate alcune funzioni di sicurezza, come il sandboxing, per consentire ai ricercatori di continuare a svolgere il loro lavoro. Un ricercatore li ha descritti come "dispositivi per sviluppatori."

Pubblicità

Ma Apple, per ora, non è disposta a fornire questi dispositivi speciali, secondo tre ricercatori che ci hanno raccontato dell'incontro.

Fino a quando Apple non fornirà tali dispositivi ai ricercatori o inviterà più persone a partecipare al proprio programma di bug bounty, sarà molto difficile che questo attiri seriamente l'attenzione da parte degli hacker etici indipendenti degli iPhone.

"Apple ha provato qualcosa di nuovo, ha offerto enormi ricompense per attacchi completi, ma non ha interpretato correttamente questo tipo di mercato o colto quali sono gli incentivi che attirano maggiormente i ricercatori," ha aggiunto Guido.

In un certo senso, il fatto che non vengano segnalati i bug potrebbe essere visto come la fine della sicurezza degli iPhone, ma anche come un segnale che il programma deve cambiare coinvolgendo più persone, secondo Guido.

"[Apple] ha trasmesso il messaggio che" questo programma sia solo per alcune persone," ma in realtà vorrebbe coinvolgere tutti," ha concluso Guido. "Hanno bisogno di fare qualcosa che gli è sempre riuscito male: coinvolgere il mondo esterno."