1. #1
    Newbie
    Dabei seit
    Jul 2015
    Beiträge
    5

    Post Sicherheitslücken: Apples Bug Bounty ist ein Flop

    Apples im September 2016 gestartetes Bug-Bounty-Programm stößt einem Bericht zufolge auf wenig Resonanz. Der Hauptgrund für das geringe Interesse seien die vergleichsweise niedrigen Honorare, die Apple für gefundene Sicherheitslücken zahlt. Auf dem Schwarzmarkt lassen sich Experten zufolge weit höhere Beträge erzielen.

    Zur News: Sicherheitslücken: Apples Bug Bounty ist ein Flop

  2. Anzeige
    Logge dich ein, um diese Anzeige nicht zu sehen.
  3. #2
    Lt. Junior Grade
    Dabei seit
    Jan 2017
    Beiträge
    401

    AW: Sicherheitslücken: Apples Bug Bounty ist ein Flop

    Daran sieht man mal wieder was das für ein Unternehmen ist, auf der einen Seite die mit Abstand teuersten Produkte verkaufen und auf der anderen Seite an jeder Ecke rumgeizen. Die App Store Ausschüttungen haben sie auch gesenkt. Aber bei den niedrigen Gewinnen absolut verständlich.

  4. #3
    Lt. Commander
    Dabei seit
    Apr 2009
    Beiträge
    1.239

    AW: Sicherheitslücken: Apples Bug Bounty ist ein Flop

    Hm, an der falschen Stelle gespart? Leisten könnte man sichs ja, sitzt man doch auf Milliarden ungenutzter Dollars :P
    "Wenn man den Sumpf trocken legen will, darf man nicht die Frösche fragen!"

  5. #4
    Rear Admiral
    Dabei seit
    Feb 2012
    Beiträge
    5.464

    AW: Sicherheitslücken: Apples Bug Bounty ist ein Flop

    Ich hätte nicht gedacht das es dort um solche Summen geht
    Und Google/MS/FB zahlen mehr ?
    Ryzen 5 1600 + BeQuiet Shadow Rock 2
    MSI B350 Mortar mit 16GB Corsair Vengeance LPX 3000
    MSI 1070 Armor 8G OC

    OCZ Agility3/MX300/Sandisk

  6. #5
    Lt. Commander
    Dabei seit
    Mai 2007
    Beiträge
    1.905

    AW: Sicherheitslücken: Apples Bug Bounty ist ein Flop

    Zitat Zitat von Palmdale Beitrag anzeigen
    Hm, an der falschen Stelle gespart? Leisten könnte man sichs ja, sitzt man doch auf Milliarden ungenutzter Dollars :P
    An die kommen sie aber nicht so einfach ran. Die Lagern irgendwo Off-Shore. Wenn die in den USA genutzt werden wollen, müssen die noch versteuert werden. Zumindest sofern ich mich richtig erinnere.

    Ka. Also für mich würde es aus moralischen Gründen nicht in Frage kommen, die Sachen auf dem Schwarzmarkt zu verticken. Ist auch eine Sache die man den Sicherheitslückensuchern vorwerfen könnte: Absolute Geldgeilheit.
    ò_Ó

  7. #6
    Lt. Commander
    Dabei seit
    Mai 2008
    Beiträge
    1.382

    AW: Sicherheitslücken: Apples Bug Bounty ist ein Flop

    Willst du jetzt sagen, dass du eine Lücke lieber kostenlos veröffentlichen würdest, anstatt sie für 1Mio+ zu verkaufen? Ist klar

  8. #7
    Commander
    Dabei seit
    Dez 2009
    Beiträge
    2.390

    AW: Sicherheitslücken: Apples Bug Bounty ist ein Flop

    Ist ja auch kein Wunder, wenn ganze Regierungen indirekt auf die Lücken mitbieten und damit die Preise hochtrieben. Solang die lieben Geheimdienste dieses Verhalten für vernünftig halten, wird sich da kaum etwas ändern. Da kann Apple wahrscheinlich noch so viel Geld anbieten...
    Geändert von Metalfreaky (07.07.2017 um 17:59 Uhr)

  9. #8
    Lieutenant
    Dabei seit
    Jun 2013
    Ort
    Erde
    Beiträge
    611

    AW: Sicherheitslücken: Apples Bug Bounty ist ein Flop

    Also wenn ich das Ding jailbreak-hacke, dann bekomme ich 1,5 Mille dafür?
    Reicht mir Hacken für Dummies um das zu lernen?

  10. #9
    Lt. Commander
    Dabei seit
    Jan 2008
    Beiträge
    1.388

    AW: Sicherheitslücken: Apples Bug Bounty ist ein Flop

    Zitat Zitat von hudini9911 Beitrag anzeigen
    Daran sieht man mal wieder was das für ein Unternehmen ist, auf der einen Seite die mit Abstand teuersten Produkte verkaufen und auf der anderen Seite an jeder Ecke rumgeizen...
    Von den Reichen lernt man das Sparen.

    Wenn jemand jedoch wirklich in der Lage ist, relevante Sicherheitslücken zu erkennen würde ich ihn unbefristet einstellen anstatt ne Einmalzahlung zu veranlassen.
    4790K geköpft @4,5GHz@1,23V (BF1 manchmal trotzdem im CPU-Limit^^), GTX1080 Gamerock PE GPU@2GHz@1V VRAM@5,5GHz, 16GB DDR3@1,866GHz
    ASUS PG348Q

  11. #10
    Commander
    Dabei seit
    Aug 2007
    Ort
    Civitas Taunensium, Agri Decumates
    Beiträge
    2.351

    AW: Sicherheitslücken: Apples Bug Bounty ist ein Flop

    Zitat Zitat von Cr4y Beitrag anzeigen
    An die kommen sie aber nicht so einfach ran. Die Lagern irgendwo Off-Shore.
    Nein, das Geld befindet sich zu über 90% in den USA.
    Die Anlage erfolgt ziemlich konservativ größtenteils in US-Firmenobligationen (z.Z. 148 Mrd.$) und US-Staatsanleihen (66 Mrd.$).
    Das Geld ist dabei trotzdem steuerrechtlich nicht vereinnahmt und Apple kann deshalb damit in den USA tatsächlich nicht viel anfangen außer es vermehren. Außerhalb der USA ist es aber einsetzbar und die 1,7 Mrd.€ für die geplanten europäschen Data Center kommen ganz bestimmt nicht von US-Konten...

    Zitat Zitat von CR4NK Beitrag anzeigen
    Wenn jemand jedoch wirklich in der Lage ist, relevante Sicherheitslücken zu erkennen würde ich ihn unbefristet einstellen anstatt ne Einmalzahlung zu veranlassen.
    Du meinst, das ist ein verkapptes Rekrutierungsprogramm und die Lücken stammen Apple selbst?
    Geändert von smalM (07.07.2017 um 20:19 Uhr)
    Google:
    Every breath you take - Every move you make - Every bond you break - Every step you take
    I’ll be watching you

  12. #11
    Ensign
    Dabei seit
    Aug 2015
    Beiträge
    252

    AW: Sicherheitslücken: Apples Bug Bounty ist ein Flop

    An den Vergütungen sieht man, dass Bug Bountys höchstens Symbolcharachter haben. Alibi Programme um zu zeigen, "seht her, wir sind um eure Sichherheit besorgt". Regierungen, Dikaturen haben erhebliches Interesse an solchen Lücken (siehe Pegasus bei dem Menschenrechtsaktivisten, FBI (Fall Bostonattentat) etc) und Geld spielt bei denen keine Rolle.

    Zitat Zitat von smalM Beitrag anzeigen
    Nein, das Geld befindet sich zu über 90% in den USA.
    Die Anlage erfolgt ziemlich konservativ größtenteils in US-Firmenobligationen (z.Z. 148 Mrd.$) und US-Staatsanleihen (66 Mrd.$).
    Das Geld ist dabei trotzdem steuerrechtlich nicht vereinnahmt und Apple kann deshalb damit in den USA tatsächlich nicht viel anfangen außer es vermehren. Außerhalb der USA ist es aber einsetzbar und die 1,7 Mrd.€ für die geplanten europäschen Data Center kommen ganz bestimmt nicht von US-Konten...
    Er meint sicher die Cashreserven die in irgendeinem Steuerparadies gebunkert liegen. Aber es stimmt Apple würde in den USA Anleihen emitieren um Kapital zu holen. Ist Steuerlich günstiger.
    Geändert von facepoop (07.07.2017 um 21:52 Uhr)

  13. #12
    Lt. Junior Grade
    Dabei seit
    Apr 2017
    Beiträge
    490

    AW: Sicherheitslücken: Apples Bug Bounty ist ein Flop

    "wie ihr seht hat kaum jemand eine Sicherheitslücke gefunden, ergo ist iOS sicher!"

  14. #13
    Cadet 3rd Year
    Dabei seit
    Aug 2015
    Beiträge
    54

    AW: Sicherheitslücken: Apples Bug Bounty ist ein Flop

    Zitat Zitat von jk1895 Beitrag anzeigen
    Also wenn ich das Ding jailbreak-hacke, dann bekomme ich 1,5 Mille dafür?
    Reicht mir Hacken für Dummies um das zu lernen?
    Zitat Zitat von Hito360 Beitrag anzeigen
    "wie ihr seht hat kaum jemand eine Sicherheitslücke gefunden, ergo ist iOS sicher!"
    Joa, dann ist das für euch ja leicht verdientes Geld.

  15. #14
    Lieutenant
    Dabei seit
    Apr 2011
    Beiträge
    925

    AW: Sicherheitslücken: Apples Bug Bounty ist ein Flop

    wenn das wirklich so sein sollte, warum gibt es dann eigentlich keinen aktuellen jailbreak?

    es gibt ja diverse hackergruppen, die welche rausgebracht haben, aber bei ios10 war das ja eher mau. da muss ja mehr dahinter stecken.

  16. #15
    Commodore
    Dabei seit
    Okt 2008
    Beiträge
    4.973

    AW: Sicherheitslücken: Apples Bug Bounty ist ein Flop

    Zitat Zitat von CR4NK Beitrag anzeigen
    [...]Wenn jemand jedoch wirklich in der Lage ist, relevante Sicherheitslücken zu erkennen würde ich ihn unbefristet einstellen anstatt ne Einmalzahlung zu veranlassen.
    In diesem Bereich gibt es einen recht großen Teil an Freischaffenden, denen Festanstellungen nicht attraktiv erscheinen. Wobei finanzielle Anreize oft nicht ziehen, da das Einkommensniveau solcher Experten meist schon recht hoch ist und sich lieber die Freiheit gegönnt wird anstatt noch mehr Kohle.

    Auch will man solche Experten nicht unbedingt in der eigenen Firma haben. Deren Fähigkeiten kommen ja auch daher, dass sich da mit allem möglichem Kram beschäftigt wird. In einer Firma mit vergleichsweise starren Dienstanweisungen verkümmert da das KnowHow. Das letzte Chaosradio zu "Intrusion Detection und Incident Response" geht da etwas in die Richtung.
    http://chaosradio.ccc.de/cr236.html

    Ergänzung vom 08.07.2017 00:30 Uhr:
    Zitat Zitat von Lusche1234 Beitrag anzeigen
    wenn das wirklich so sein sollte, warum gibt es dann eigentlich keinen aktuellen jailbreak?
    Wenn es einen Jailbreak gibt, dann ist der wertvoll. Bei der Veröffentlichung wird Apple sehr schnell daran arbeiten, dass alle entsprechenden Lücken gefixt werden. Damit wird der Exploit wertlos. Da sich Marktpreise etabliert haben, die den initialen Findern bis zu US$ 1,5Mio. vom 0day-Händler einbringen. Wobei die Händler diese Exploits dann natürlich auch mit deutlichen Aufschlägen verkaufen. Da steckt einfach so viel Geld dahinter, dass da nur noch eine Minderheit Exploits frei zugänglich macht und verheizt.

    Ansonsten werden Angriffe auf iOS die einem Rootrechte verschaffen zunehmend schwerer.
    Geändert von Piktogramm (08.07.2017 um 00:33 Uhr)

  17. #16
    Lt. Junior Grade
    Dabei seit
    Apr 2009
    Ort
    Berlin
    Beiträge
    498

    AW: Sicherheitslücken: Apples Bug Bounty ist ein Flop

    Zitat Zitat von Lusche1234 Beitrag anzeigen
    wenn das wirklich so sein sollte, warum gibt es dann eigentlich keinen aktuellen jailbreak
    Daran sieht man, dass an der News was nicht stimmt. Eine Quelle hat wohl erfahren, dass das Programm von Apple nicht oder kaum genutzt wird und aussoziiert damit gleich, dass Apple zu wenig Geld zahlt, weil andere Firma mehr zahlen bzw. Behörden etc. noch mehr zahlen. Alles einfach blödsinn. Das iOS eines der sichersten Betriebssysteme ist, weiß ja eigentlich jeder. Dementsprechend ist es auch schwer Lücken dafür zu finden. Diese Mühe machen sich halt kaum welche. Wie du ja schon sagst, gibt es ja kaum aktuelle Jailbreaks, also kann es ja nicht sein, dass die Lücken an die Jailbreak-Szene verkauft werden.

  18. #17
    Lt. Commander
    Dabei seit
    Jan 2008
    Beiträge
    1.388

    AW: Sicherheitslücken: Apples Bug Bounty ist ein Flop

    Zitat Zitat von smalM Beitrag anzeigen
    Du meinst, das ist ein verkapptes Rekrutierungsprogramm und die Lücken stammen Apple selbst?
    Nein ich mein das so wie ich es auch geschrieben hab.

    @Piktogramm
    Ja macht Sinn. Dachte da eher an Freaks / Nerds die es nicht so dolle haben.
    4790K geköpft @4,5GHz@1,23V (BF1 manchmal trotzdem im CPU-Limit^^), GTX1080 Gamerock PE GPU@2GHz@1V VRAM@5,5GHz, 16GB DDR3@1,866GHz
    ASUS PG348Q

  19. #18
    Lt. Commander
    Dabei seit
    Jul 2015
    Beiträge
    1.457

    AW: Sicherheitslücken: Apples Bug Bounty ist ein Flop

    Die NSA zahlt einfach besser. Wer glaubt, IOS 10 ist durch ein nicht genutztes BUG Bounty System "100% Bug Free", der glaubt auch an den Weihnachtsmann.

    Eine Sicherheitslücke im "ungejailbaren" IOS10 ist weit mehr wert, als die lächerlichen 200.000$.
    1. System: Intel I7 5820K | 4x8GB Crucial DDR4-2333 | Gigabyte X99-UD3-CF | Sapphire Fury Tri-X

    2. System: Intel i3 2030 | 2x8GB G.Skill F3-1333C9D | Palit GeForce GTX 950 StormX Dual

    3.System (Server): Amd A4 4000 underclocked | 2x2GB Samsung DDr3 1333 | Biostar A88M | Realpower RPS19-G3380

  20. #19
    Fleet Admiral
    Dabei seit
    Okt 2013
    Beiträge
    33.460

    AW: Sicherheitslücken: Apples Bug Bounty ist ein Flop

    Zitat Zitat von scheischmanfred Beitrag anzeigen
    Wie du ja schon sagst, gibt es ja kaum aktuelle Jailbreaks, also kann es ja nicht sein, dass die Lücken an die Jailbreak-Szene verkauft werden.
    Die werden ja auch nicht an die Jailbreakszene verkauft sondern an Geheimdienste bzw. dessen Zulieferfirmen wie Gamma Systems: Die zahlen buchstäblich Millionen. Die Jailbreakszene hingegen zahlt nix, die machen das aus Spaß am Hacken. Aber wenn man natürlich Millionen fürs Hacken bekommt, wird auch jeder Jailbreaker schwach und deswegen gibts auch keine öffentlichen Jailbreaks mehr.
    Und "iOS eines der sichersten Betriebssysteme" selten so ein Geschwafel gelesen.

    PS: die Hardwareplattform "IPhone" ist allerdings ziemlich sicher, mit die sicherste, vor allem unter den gebräuchlichen Smartphones. Physical accees trumps everything gilt natürlich trotzdem, nur ist der Aufwand ungleich höher.
    Geändert von HominiLupus (08.07.2017 um 11:07 Uhr)
    Aufklärung ist der Ausgang des Menschen aus seiner selbst verschuldeten Unmündigkeit. Unmündigkeit ist das Unvermögen, sich seines Verstandes ohne Leitung eines anderen zu bedienen.

  21. #20
    Ensign
    Dabei seit
    Aug 2007
    Beiträge
    217

    AW: Sicherheitslücken: Apples Bug Bounty ist ein Flop

    Zitat Zitat von Piktogramm Beitrag anzeigen
    Da steckt einfach so viel Geld dahinter, dass da nur noch eine Minderheit Exploits frei zugänglich macht und verheizt.
    Aber das ist doch dann auch der einzige tatsächliche Gegenwert? Wenn der Exploit nicht genutzt wird warum sollte ihn jemand kaufen? Zumal man ja in der Vergangenheut gesehen hat das ein kostenpflichtiger Jailbreak auch nicht funktioniert.

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Forum-Layout: Feste Breite / Flexible Breite