Program Bug Bounty Apple Memiliki Risiko Besar, Kenapa?
Ilustrasi | Foto : The economic times
Las Vegas, Cyberthreat.id - Pekan lalu, dalam acara Konferensi tahunan Black Hat USA, Ivan Krstic, kepala rekayasa dan arsitektur keamanan Apple, mengumumkan perluasan besar-besaran dari program bug bounty perusahaan.
Selain memperluas program dari iOS ke semua sistem operasi Apple, seperti ke macOS, tvOS, dan watchOS, program baru ini juga akan meningkatkan jumlah hadiah kepada para penemu celah keamanan hingga US$ 1,5 juta.
Pendiri dan CEO Luta Security Katie Moussouris mengkritik program yang diinisiasi oleh Apple ini. Menurut Moussouris, Apple mungkin telah melampaui titik di mana ia menciptakan apa yang disebutnya insentif buruk di pasar.
Pasalnya, insentif yang diberikan Apple memiliki potensi lebih besar untuk mendatangkan malapetaka pada ekosistem keamanan defensif, daripada yang dilakukannya untuk melindungi pengguna.
Di sisi lain, beberapa eksploitasi baru dapat muncul dengan cara ini. Memang, akan muncul bakat-bakat baru di bidang security, tetapi bukan untuk dibayar terus menerus untuk menjaga pertahanan Apple.
"Karunia bug sebesar US$ 1,5 juta dari Apple memiliki potensi lebih besar untuk mendatangkan malapetaka pada ekosistem keamanan defensif, daripada yang dilakukannya untuk melindungi pengguna,” kata Moussouris, seperti yang dikutip dari DarkReading, Rabu, (14 Agustus 2019).
Moussouris merinci tiga hal yang menjadi perhatiannya tentang skala jumlah hadiah tersebut:
1.Harga pelanggaran hanya akan meningkat sebagai akibat langsung. Hal ini, artinya, para penemu celah kemanan tidak bersaing dengan pasar itu, melainkan memperkuatnya.
2. Untuk yang lain, ini mungkin cukup insentif bagi orang dalam untuk berkolusi dengan orang luar.
3. Akhirnya, mereka (Apple) mungkin mengorbankan jalur perekrutan mereka sendiri, dan bahkan mungkin akan terjadi retensi internal di kalangan karyawan.
.Menurut Moussouris, Apple jelas ingin meningkatkan jumlah peneliti yang bekerja pada platformnya. Namun, dia berharap program ini berhasil membawa penelitian luar biasa dan bakat baru ke pasar.
Sementara, Casey Ellis, CTO dan pendiri Bugcrowd, mengungkapkan, Apple telah menunjukkan bahwa mereka memahami pentingnya menemukan bug, tidak hanya ketika mereka berada di tangan pelanggan, tetapi juga dalam siklus produksi.
Dia menambahkan, bahwa Apple sekarang menemukan dirinya bersaing dengan pembeli eksploitasi ofensif, yang mana mereka yang akan membayar peneliti untuk eksploitasi yang kemudian akan mereka gunakan terhadap korban di dunia nyata.
"Sebagian besar pemain industri lainnya tidak menghadapi rintangan ini, dan ini dalam kombinasi dengan fokus mereka pada keamanan produk adalah tanda mengapa pembayaran begitu besar. Karena, keterampilan untuk menemukan jenis bug yang ditargetkan Apple jarang terjadi dan sering dikaitkan dengan pasar ofensif, dan ini merupakan indikasi lain mengapa pembayaran tinggi,” pungkas Ellis.
