Potrebbe essere l’avarizia di Apple, per la precisione la riluttanza a ricompensare gli hacker che scoprono falle nel suo software, la carta segreta dell’FBI per violare l’iPhone di San Bernardino. Il New York Times ipotizza che l’FBI potrebbe avere trovato il modo di sbloccare l’iPhone del terrorista che ha ucciso 14 persone in California, contando su un “pirata” in possesso delle informazioni per farlo; anziché venderle ad Apple che non avrebbe pagato il suo lavoro, questo avrebbe deciso di monetizzare la sua scoperta vendendo la vulnerabilità all’FBI.
Il quadro della vicenda è noto da tempo: nella Silicon Valley aziende come Google, Microsoft, Facebook, Twitter e Mozilla, pagano taglie ai cacciatori di bug. Uber ha recentemente annunciato un programma di ricompense; Google ha pagato 6 milioni di dollari da quando nel 2010 ha annunciato il suo programma di taglie e recentemente portato a 100.000$ la ricompensa offerta a chi dimostra vulnerabilità nei Chromebook. In questo modo molte aziende, in particolare Microsoft, hanno migliorato di molto la loro sicurezza, sommando un bug fix dopo l’altro.
Apple invece, anziché affidarsi a programmi che mettono in palio taglie, ha finora preferito distribuire le versioni preliminari di sistemi operativi e aggiornamenti, facendo test su larga scala con utenti che accettano di provare in anteprima le nuove release e comunicano eventuali bug individuati. Quando viene trovato un bug, Cupertino si limita a ringraziare chi ha individuato la vulnerabilità nei dettagli dei security update e nell’elenco delle vulnerabilità CVE (Common Vulnerabilities and Exposures), il dizionario di vulnerabilità e falle di sicurezza note pubblicamente. L’idea è quella di consentire a bravi hacker “bianchi” di farsi notare; ma i professionisti del codice, gli hacker “grigi” esperti di sicurezza e che lavorano quotidianamente per guadagnarsi da vivere con la vivisezione dei sistemi operativi e delle applicazioni, non hanno nessun interesse ad inviare segnalazioni ad Apple, preferendo tenere per sé le scoperte e venderle al miglior offerente che in questo caso è una agenzia governativa, ma che potrebbero essere anche malintenzionati.
È noto che nel mondo, particolarmente in Cina, ci sono aziende che offrono pubblicamente denaro a chi cede loro vulnerabilità da sfruttare per il jailbreaking dei dispositivi iOS. In Cina, ad esempio, tutto ciò che ruota intorno al meccanismo di sblocco è una vera e propria industria, con hacker pagati profumatamente e trattati alla stregua di star dello spettacolo.
“Con la posta in gioco sempre più alta, se Apple vuole continuare a competere nel mondo moderno, deve rinnovare il suo approccio” spiega Katie Moussouris, funzionario a capo di HackerOne, una delle organizzazioni che aziende quali Yahoo, Dropbox e Uber, pagano per la gestione dei programmi di ricompensa.
Craig Federighi, vice presidente responsabile software engineering in Apple, ha spiegato che “la sicurezza è una corsa senza fine, qualcosa che puoi guidare ma mai vincere definitivamente”. “Il nostro team” ha spiegato ancora Federighi, “si adopera instancabilmente per stare un passo avanti ai criminali autori di attacchi informatici che cercando di ottenere informazioni personali, ma nonostante i nostri sforzi non esiste nulla di sicuro al 100%”.
Apple può sempre più affidarsi alla collaborazione di esperti in sicurezza o predisporre programmi che incentivino la divulgazione delle vulnerabilità ma secondo Jay Kaplan, ex analista della NSA e co-fondatore di Synack, (un’azienda che mette al lavoro hacker per scovare vulnerabilità in sistemi client), non sarà mai in grado di competere con quanto viene offerto dietro le quinte del mercato nero, un riferimento che esisterà sempre per chi è disposto a pagare cifre elevatissime per ottenere falle utilizzabili con tutti i sistemi.
