Top!

Oder auch andersherum formuliert:
Quelle: heise (22.06.2016): iOS 10: Apple lässt Kernel unverschlüsselt
Die Entwicklerversion von iOS 10 erlaubt nach Angabe von Sicherheitsforschern erstmals, den Betriebssystemkern näher zu inspizieren. Ob Apple sich davon Bug-Reports verspricht oder es sich um ein Versäumnis handelt, bleibt unklar.


MIT Technology Review (23.06.2016): Apple Now Says It Meant to Open Up iPhone Code

MIT Technology Review (21.06.2016): Apple Opens Up iPhone Code in What Could Be Savvy Strategy or Security Screwup


MacStarTrader:

+1

Andererseits ist grad zu lesen:

Quelle:
Quelle:
Quelle:


Und:

Quelle:
Quelle:

sierkb
Für gefundene Bugs zahlen, hat aber auch den Nachteil, dass u.U. dann die Bugs der bekommt, der mehr zahlt.

LoCal:

Häh? Deine Aussage ergibt keinen Sinn. "Bugs bekommen"? "Der mehr zahlt"? Bugs sind vorhanden, auf jeden Fall und egal, wie man es dreht und wendet. Die Frage ist: wer entdeckt sie, wer fixt sie? Oder bleiben sie unentdeckt und ungefixt? Oder gar zwar entdeckt aber trotzdem ungefixt?
Zudem: wer hat denn eigentlich das größere Interesse, dass seine Software möglichst fehlerfrei ist? Oder ist Apples Interesse größer, dass Fehler möglichst nicht gefunden werden? Kann nicht sein, oder? Bzw. kann schon sein, sollte aber bloß nicht sein, wäre schlecht für Apples Software, somit schlecht für den Anwender und somit schlecht für Apples Ruf.

sierkb

ich finde seine Aussage macht durchaus sinn. Warum sollte ich selbst wenn Apple den Bug bezahlt den Bug, bzw das wissen über den Bug, nicht dem weitergeben der mir mehr als Apple zahlt. Apple hat sicher grosses Interesse das das System fehlerfrei ist, doch gibt es genug die ein genau so grosses interesse haben fehler zu kennen die Apple eben noch Nicht kennt.

Nö, die Aussage ist absolut sinnfrei. Siehe zuvor Gesagtes. Apple zahlt nicht für einen Bug! Was ist das für eine Formulierung? Apple sollte das Finden von Bugs belohnen! Und die Leute ermutigen, deren Software nach Bugs abzusuchen und diese Apple melden! Damit Apple sie schneller fixen kann als irgendeiner, der es still für sich ausnutzt und damit böse Sachen anstellt! Darum geht's!

Eben! Und genau deshalb sollte Apple endlich einen offenen und transparenten Umgang damit sich angewöhnen, so wie andere große Software-Hersteller und Open-Source-Hersteller das seit Jahren eh schon tun! Weil Du nur so genau denen, die Du da meinst, den Boden entziehen kannst, im Verborgenen ein lukratives Geschäft draus zu machen mit Bugs, die nur sie kennen. Pro-Aktiv dem zuvorkommen, um Schlimmeres zu verhindern und vor allem dem Schwarzmarkt und den dunklen Kanälen so wenig wie möglich Anreiz geben! Durch einen offenen und pro-aktiven Umgang mit dem Ganzen und Finden und Fixen von Bugs im Vorfeld, bevor jemand anderes drauf kommt, es gegen Dich zu verwenden.

Ja aber wenn mir apple 1000.- gibt weil ich einen Fehler gefunden hab und ihn melde. OK. Aber wenn mir jemand auf dem Schwarzmarkt 2000.- für diese Information gibt, warum sollte ich dann Apple die Information geben. Solange Geld die Motivation ist den Fehler zu melden gibt es immer jemand der Mehr für die Info zahlt und der mit der Info ziemlich sicher nicht plant diese zu schliessen

Also muss Apple schneller sein! Und mehr bieten als der Schwarzmarkt! Ganz einfach. Das geht! Andere machen das auch. Und das Ganze so attraktiv gestalten, dass die Versuchung gering ist, sich überhaupt auf dem Schwarzmarkt umzusehen. Der blüht doch gerade erst genau deswegen: weil alles so geheim und zugenagelt ist!

Jeden Studenten machste glücklich mit ein paar hundert oder tausend Dollar Zusatzeinkommen, wenn Du ihn an Deine Software ranlässt, dass er Fehler findet und Dir meldet! Ein Fehler weniger, der es auf den Schwarzmarkt schaffen kann, um dort dann zu teilweise vielfach höheren Preisen im Untergrund gehandelt zu werden.

Siehe mein Satz zuvor.

Nö. Wer zuerst kommt, mahlt zuerst. Apple ist schön blöd, einfach nur dumm und im Grunde fahrlässig, dass sie sich hier so zugeknöpft geben. Ein Relikt aus alter Zeit. So gut wie die gesamte IT-Industrie handelt inzwischen anders und schlauer und ist da offener und pro-aktiv. Warum? Weil es sich für sie rechnet! Und wie es sich für sie rechnet! Apple schießt sich durch seine Verschlossenheit selber ins Knie. Und macht seine Plattform damit erst recht attraktiv und lukrativ für Angreifer und den Schwarzmarkt. Anstatt denen so wenig wie möglich Angriffsfläche zu bieten und Fehler und Lücken schon so früh und so umfangreich zu finden bzw. finden zu lassen und zu lösen wie es nur geht, dass die für diese dunkle Klientel gar nicht mehr zur Verfügung stehen.

Mit "Bugs bekommen" ist "Informationen über den Bug bekommen und ggfs. auch Informationen wie man diese Bugs ausnutzt bekommen" gemeint. Und plötzlich ergibt alles Sinn...

Die eigentliche Frage ist, wie bekommt (in diesem Fall) Apple die Informationen zu dem Bug. Du sagst durch ein bug bounty Programm. Also Geld dafür zahlen.
Und hier sagt LoCal eben derjenige der am meisten Geld bezahlt bekommt die Infos. Apple müsste also mehr Zahlen als ein interessierter Geheimdienst.

Kann der Herr Esser jetzt weniger Lücken verkaufen, oder nicht?

Höchstens die Leute im Schwarzmarkt bekommen Bugs zugespielt. Oder Geheimdienste. Die sich nicht selten dort bedienen und mit denen zusammenarbeiten.

Es geht darum, Bugs zu finden! Nicht, sie zu bekommen! Damit Apple davon schnellstens weiß und sie fixen kann! Bevor auch nir irgendeiner derjenigen, die Du da meinst, sie ausnutzen oder geldwert weiterverscherbeln kann!

Durch die betreffenden Finder! Die das Apple melden! Und Apple belohnt denen genau das z.B. mit einer attraktiven Prämie. Viele machen das, und das Ganze ist SEHR attraktiv und wird auch viel genutzt und sehr positiv von allen Beteiligten angenommen.
Am Ende gibt es dann nur Gewinner, der größte Gewinner und Nutznießer dürfte Apple dabei sein. Weil andere ihnen Arbeit abnehmen, die sie sonst ganz alleine zu lösen hätten, ihre Software sicherer und damit besser zu machen.

Nochmal: Apple weiß teilweise doch gar nicht, was für Fehler und Lücken in ihren Programmen drin sind. Das gilt es herauszufinden und dann zu fixen. Entweder durch Apple selber. Oder eben durch andere, die diese Arbeit für sie tun, und Apple dankt es ihnen in Form einer Prämie.

Im Falle der unlängst gehandelten 1-Million-Dollar-Lücke hätte ich anApples stelle genau diese 1 Million Dollar aufgebracht und gezahlt für diese Info, damit ich diese Lücke aber schleunigst schließen kann. Bevor auch nur irgendein böser Bube oder Geheimdienst diese 1 Million Dollar zahlt und sich damit des Detail-Wissens darüber bemächtigt, um diese Lücke dann auszunutzen.
Apple hatte sich dagegen entschieden, da mitzubieten. Mit der Folge, dass jetzt die Lücke einzig und allein den betreffenden zahlenden bösen Buben bekannt ist bzw. dem Geheimdienst, der diese Summe mal ganz eben locker aufgebracht hat. Und Apple weiß immer noch nicht, um was für eine Lücke es sich handelt, und die Lücke ist immer noch nicht gefixt, und die Benutzer sind immer noch dem ungeschützt ausgesetzt, und die bösen Buben und Gehmindienste können das imemr noch ausnutzen.

Dem kommt man zuvor, wenn man selber rechtzeitig pro-aktiv ein attraktiveres Angebot macht und Lücken mit viel weniger Aufwand und unter Einsatz von viel weniger Geld rechtzeitig finden und fixen lässt (wenn man es schon nicht selber kann)!

Um den Herrn Esser geht's hier überhaupt nicht! Und: der verkauft keine Lücken! Der sucht und findet höchstens regelmäßig welche und meldet sie seit Jahren unentgeltlich brav und treu an Apple und wartet regelmäßig sehnlichst darauf, dass Apple Vollzug meldet und diese von ihm gefundenen Lücken endlich gefixt hat! Der freut sich jedes Mal wie ein kleiner Schneekönig, wenn eine von ihm gefundene und an Apple gleich gemeldete Lücke dann nach 2, 3 oder 5 Jahren von Apple endlich geschlossen wurde! Bzw. zeigt sich enttäuscht drüber, wenn Apple, obwohl sie in Kenntnis der Lücke sind, das weiter aussitzen. Und somit dem geifernden Schwarzmarkt, der ganz erpicht ist auf derlei Lücken, ohne Not nur Vorschub leisten. Denn er ist nicht der Einzige, der Lücken findet, das weiß er auch. Und sagt stets: "Wenn ich das jetzt schon gefunden habe, dann haben das Andere, die weniger redlich drauf sind und die in den dunklen Kanälen hocken, mit ganz großer Wahrscheinlichkeit auch schon längst rausgefunden oder sind grad' dabei, blöd' sind die alle ja auch nicht. Und nutzen es schamlos und verdeckt aus. OHNE es an Apple zu melden." Also Apple: asap fixen und die Such- und Findemannschaft vergrößern, damit bösen Buben und Geheimdiensten weniger bleibt, das sie verschachern, sich aneignen und ausnutzen können.

sierkb
Ok, angenommen ich habe einen Bug in Apples Software gefunden. Ich bin jetzt aber geldgierig und alles weitere interessiert mich nicht. Ich starte also eine art Versteigerung, jetzt müssen sich NSA und Apple Gegenseitig überbieten bis es einem zuviel wird. Diese Aktion mit ein paar tausend Bugs und selbst Apple geht pleite wenn sie möglichst jeden Fund haben wollen.

Wo ist der Fehler in dieser Überlegung?

Easy: Apple kann nicht pleite gehen.

Ernsthaft: "ein paar tausend [sicherheitsrelevante] Bugs" mal eben so zu finden und meistbietend versteigern zu können, ist wohl eher hypothetisch. Davon abgesehen würdest Du, wenn es um wirklich kritische Sicherheitslücken geht, ein ganz anderes Bieterfeld haben als nur NSA und Apple.

Das ist mir alles viel zu hypothetisch und "was wäre wenn" - erst recht angesichts der Tatsache, dass es Apple bisher ja noch nicht mal ansatzweise versucht, dem entgegen aber eine gesamte versammelte IT-Industrie steht, Open-Source (dort gehört Bug-Hunting, Bug-Bounty schon von je her quasi fest dazu) wie inzwischen sogar auch Closed-Source (nachdem es dort lange Vorbehalte gab, gewohnheitsbegründet, mittlerweile istdie Closed-Source-Industrie aber sehr begeistert dabei), die das seit Jahren höchst erfolgreich praktiziert und wo sich das mehr als auszahlt! Einfach mal machen! Und sehen, was dabei rauskommt. Du wirst sehen: es wird sich für Apple und für die Qualität von deren Software doppelt und dreifach auszahlen.

Jeronimo:

+1

Es gibt neben mir ja noch ein paar andere Menschen auf der Welt die das selbe machen...

Neben Dir? Was meinst Du konkret? Was machst Du denn diesbzgl., das ein paar andere Menschen auf der Welt auch machen? Sicherheitsrelevante Bugs meistbietend zu versteigern? An Apple vorbei und ohne Apple in Kenntnis davon zu setzen? Das tust Du? Oder was meinst Du konkret?

Ok, angenommen ich habe einen Bug in Apples Software gefunden. Ich bin jetzt aber geldgierig und alles weitere interessiert mich nicht. Ich starte also eine art Versteigerung, jetzt müssen sich NSA und Apple Gegenseitig überbieten bis es einem zuviel wird. Diese Aktion mit ein paar tausend Bugs und selbst Apple geht pleite wenn sie möglichst jeden Fund haben wollen.

Natürlich. Es muss daneben aber auch noch "ein paar tausend Bugs" geben, die man finden könnte.

Und zwar nicht irgendwelche "Bugs", sondern eben sicherheitsrelevante Sicherheitslücken, die für eine entsprechend böswillige dritte Partei einen Nutzen bzw. monetären Vorteil darstellt.

Kein Mensch zahlt Dir 1 Mio $, nur weil Du z.B. einen Bug gefunden hast, der bei Verwendung des Green-Screen-Effekts in iMovie den Mac abstürzen lässt.

Deine Argumentation wird nicht schlüssiger, nur weil Du sie wiederholst. Außerdem beantwortest Du dadurch in keinster Weise die eigentliche Frage: bist Du nun tatsächlich professioneller Bug-Hunter oder nur "angenommen"?

Ich hatte nur auf die Frage von sierkb geantwortet.


Es ist eine recht simple Frage die vorher wegen der Formulierung von sierkb tot geredet wurde und jetzt weil es zu hypothetisch sei. Das sind seine Ideale und Wünsche und Träume die er hier öfters ausformuliert aber genauso...

Jeronimo:

Ich glaube, MetallSnake schwurbelt hier grad' nur mit abenteuerlichen Thesen rum, trollt, stiehlt uns Zeit.

MetallSnake:

Nicht wirklich. Du weichst dieser Frage aus und lenkst von ihr ab. Die Frage war klar gestellt. Und Jeronimo hat sie offenbar ganz korrekt verstanden und wiederholt an Dich gestellt. Und wieder weichst Du aus.

Nein, es ist eisenharte Realität, und es sind nachprüfbare, belegbare Fakten. Und Du bläst hier blaue Luft in Unkenntnis der Realität und in Unkenntnis der Fakten, willst sie offenbar auch nicht zur Kenntnis nehmen, sondern verstrickst Dich imemr weiter in Deinem theoretischen Denkgebäude, das ganz weit weg ist von der Realität und den harten Fakten.
Weißt Du eigentlich, worüber Du die ganze Zeit sprichst? Offenbar nein.
Komm' mal runter von dem Trip, auf dem Du Dich grad' befindest, bitte und nähere Dich mal bitte der Realität. Die ist anders als Du sie Dir hier grad' vorstellst und sie hier versuchst zum Besten zu geben.

Genau das hast Du eben nicht getan. Er fragte, was es denn nun konkret ist, was Du und "ein paar andere Menschen auf der Welt" machen. Wir versuchen nur, Dich zu verstehen. Mach es uns nicht so schwer.

Jeronimo:

+1

Das setzt voraus das jeder, der auf diesem Niveau arbeitet kriminelle Energie mitbringt und zudem noch bereit ist statt eines nicht ganz unansehnlichen Gehalts in der IT Branche das schnelle Geld zu wählen. Jemand, der regelmäßig Sicherheitslücken aufdeckt bekommt sofort mehrere Jobs angeboten und bewegt sich ganz schnell im sechsstelligen Bereich was das Jahresgehalt angeht. Neben allen anderen Vergünstigung, die die Branche so bietet. Und er muss auch keine Angst haben, das er in den USA mal eben für die nächsten 25 Jahre im Gefängnis verschwindet.

Auch Trolls brauchen Liebe und einen, der ihnen zuhört.

Ach, was red ich, besonders Trolls brauchen Liebe. Ab und zu ein bisschen Anerkennung, ein kleines nonverbales "Ach komm, ganz tief in Dir drin bist Du doch bestimmt gar nicht so blöd", halt irgendwas was sie aufmuntert, damit sie nicht irgendwann mit einem Gewehr-Emoji bewaffnet meuchelnd durch die Straßen rennen.

+1

Es gibt zudem auch noch Menschen, und davon Gott sei Dank ganz ganz viele und Gott sei Dank die Mehrheit, die haben sowas wie eine Ehre und Berufsehre und einen diesbzgl. sauberen Charakter, sind nicht käuflich und die lassen sich weder verführen noch auf die Dunkle Seite ziehen, nicht für viel Geld und gute Worte – für kein Geld der Welt.
Hier in Deutschland auf einem anderen Gebiet wunderbar auch demonstriert, dass unser BKA und Verfassungsschutz hierzulande trotz intensiver Suche keinen einzigen Programmierer gefunden haben, der ihnen einen neuen Staatstrojaner programmiert, nachdem der alte vom Bundesverfassungsgericht als nicht verfassungskonform verboten wurde, also mussten sie sich den aus dem Ausland gegen teures Geld einkaufen (und der ist, wie sich jetzt herausgestellt hat, so gut wie nutzlos und dazu auch immer noch nicht verfassungskonform, das Ganze war also für die Tonne und rausgeschmissenes Steuergeld).

Jeronimo:



Wäre dann sowas wie das hier nicht angemessener und insgesamt entlastener und zielführender für alle Beteiligten?