AUG 09, 2019@11:45 WIB | 1,019 Views
Apple akhirnya memberi peneliti keamanan sesuatu yang mereka inginkan selama bertahun-tahun: hadiah untuk menemukan bug di macOS. Raksasa teknologi itu mengatakan akan meluncurkan program bug bounty (bug berhadiah) untuk platform Mac dan MacBook, serta Apple TV dan Apple Watch. Peluncuran ini hampir tepat tiga tahun setelah debutnya meluncurkan program bug bounty untuk iOS.
Intinya sederhana. Anda menemukan kerentanan, Anda mengungkapkannya ke Apple, mereka memperbaikinya - dan sebagai imbalannya Anda mendapatkan pembayaran tunai. Program seperti ini sangat populer di industri teknologi karena membantu mendanai peneliti keamanan dengan imbalan menemukan kelemahan keamanan serius yang dapat digunakan oleh oknum jahat. Itu juga membantu mencegah para pencari bug menjual kerentanan yang ditemukannya pada pasar gelap, yang mungkin menyalahgunakan dan mengeksploitasi kekurangan tersebut untuk merugikan banyak orang.
Selama ini memang Apple dinilai lelet untuk meluncurkan bug bounty ke jajaran komputernya. Hal itu berujung pada tidak sedikit peneliti keamanan yang menolak untuk melaporkan kelemahan keamanan yang ditemukannya kepada Apple karena tidak ada imbalan sama sekali.
Pada konferensi Black Hat di Las Vegas, kepala teknik dan arsitektur keamanan Ivan Krstic mengumumkan program tersebut untuk berjalan bersama bug bounty iOS yang sudah ada. Sementara Patrick Wardle, seorang pakar keamanan dan peneliti keamanan utama di Jamf, mengatakan langkah itu adalah sesuatu yang seharusnya sudah dilakukan sejak lama.
Wardle bahkan pernah menemukan beberapa kerentanan keamanan utama Apple dan dengan segera mempulikasikannya tanpa memberitahu pihak Apple sama sekali terlebih dahulu sebelumnya mengenai temuannya. Menurutnya itu dilakukannya karena tiada bug bounty untuk macOS. Dia telah lama mengkritik Apple karena tidak memiliki bug bounty, dan menuduh perusahaan tersebut menciptakan ruang terbuka bagi peneliti keamanan untuk menjual kelemahan mereka pada broker yang sering menggunakan kerentanan tersebut untuk kejahatan.
"Memang, mereka mempekerjakan banyak peneliti berbakat dan profesional keamanan yang luar biasa - tetapi masih belum pernah benar-benar memiliki hubungan yang saling menguntungkan secara transparan dengan peneliti independen eksternal," kata Wardle.
"Memang ini adalah kemenangan bagi Apple (adanya bug bounty), tetapi pada akhirnya ini merupakan kemenangan besar bagi pengguna akhir Apple," tambahnya.
Apple mengatakan akan membuka program bounty bug-nya untuk semua peneliti dan meningkatkan ukuran bounty dari maksimum saat ini 200.000 dolar AS per exploit menjadi 1 juta dolar untuk serangan eksekusi kode kernel rantai nol tanpa klik - dengan kata lain, jika seorang penyerang dapat memperoleh kendali penuh atas telepon tanpa interaksi pengguna dan hanya dengan mengetahui nomor telepon target.
Apple juga mengatakan bahwa setiap peneliti yang menemukan kerentanan dalam pembuatan pra-rilis yang dilaporkan sebelum rilis umum akan memenuhi syarat untuk bonus hingga 50 persen di atas kategori kerentanan yang mereka temukan.
Apple mengatakan bahwa pihaknya berharap memperluas program bug bounty akan mendorong lebih banyak peneliti untuk secara pribadi mengungkapkan kelemahan keamanan, yang akan membantu meningkatkan perlindungan pelanggannya. Program bug bounty akan terbuka untuk semua peneliti keamanan mulai akhir tahun ini.
[Ard/tim BX]