هل تريد ربح 250.000 دولار سريعًا؟ من لا يفعل ذلك، أليس كذلك؟ إذا كانت لديك المعرفة اللازمة لتعقب نقاط الضعف في الأجهزة والبرامج، فقد تكون هذه المكافأة المرتفعة في متناول يدك. تقدم Intel الآن برنامجًا محدثًا لمكافأة الأخطاء حتى 31 ديسمبر 2018، مع تحديد هذا الجزء الصغير اللطيف من التغيير باعتباره الحد الأقصى للدفع مقابل مطاردة "نقاط الضعف في القنوات الجانبية". هؤلاء الثغرات الأمنية هي عيوب مخفية في عمليات البرامج والأجهزة النموذجية التي من المحتمل أن تقود المتسللين إلى بيانات حساسة، مثل مؤخرًا مآثر الانهيار والشبح.
"دعما لجهودنا الأخيرة تعهد الأمن أولاتقول الشركة: "لقد أجرينا العديد من التحديثات لبرنامجنا". "نعتقد أن هذه التغييرات ستمكننا من إشراك مجتمع البحوث الأمنية على نطاق أوسع تقديم حوافز أفضل للاستجابة المنسقة والإفصاح الذي يساعد على حماية عملائنا وشركائهم بيانات."
مقاطع الفيديو الموصى بها
أطلقت إنتل في الأصل برنامج مكافأة الأخطاء في مارس 2017 كخطة مخصصة للدعوة فقط لباحثين أمنيين مختارين. أصبح البرنامج الآن مفتوحًا للجميع على أمل تقليل اكتشاف آخر من نوع الانهيار باستخدام مجموعة أكبر من الباحثين. وتقوم الشركة أيضًا برفع مبالغ المكافآت لجميع المكافآت الأخرى، والتي يقدم بعضها ما يصل إلى 100000 دولار.
قائمة متطلبات Intel للإبلاغ عن ثغرات القناة الجانبية قصيرة إلى حد ما، بما في ذلك شرط السن هو 18 عامًا، وهي فجوة مدتها ستة أشهر بين العمل مع Intel والإبلاغ عن مشكلة، من بين أمور أخرى متطلبات. يجب تشفير جميع التقارير باستخدام مفتاح PGP العام من Intel PSIRT، ويجب أن تحدد المشكلة الأصلية التي لم يتم الكشف عنها، وتتضمن نتائج حساب CVSS v3، وما إلى ذلك.
تريد إنتل من الباحثين الأمنيين أن يتعقبوا الأخطاء في معالجاتها وشرائحها ومحركات الأقراص ذات الحالة الصلبة المستقلة منتجات مثل NUCs وشرائح الشبكات والاتصالات ومجموعة البوابات القابلة للبرمجة ميدانيًا المتكاملة الدوائر. تدرج Intel أيضًا خمسة أنواع من البرامج الثابتة، وثلاثة أنواع من البرامج التي تندرج تحت مظلة مكافأة الأخطاء الخاصة بها: برامج التشغيل والتطبيقات والأدوات.
“ستمنح شركة Intel مكافأة لمن يقدم تقريرًا أوليًا عن الثغرة مع تفاصيل كافية لتمكين شركة Intel من إعادة إنتاجها. “ستمنح شركة Intel مكافأة تتراوح قيمتها بين 500 دولار أمريكي و250,000 دولار أمريكي اعتمادًا على طبيعة الثغرة الأمنية وجودة التقرير ومحتواه. سيحصل أول تقرير خارجي يتم استلامه عن ثغرة أمنية معروفة داخليًا على جائزة بقيمة 1500 دولار أمريكي كحد أقصى.
في شهر يناير، أعلن الباحثون عن ثغرة أمنية موجودة في المعالجات يعود تاريخها إلى عام 2011 والتي تسمح للمتسللين بالوصول إلى ذاكرة النظام والاستيلاء على البيانات الحساسة. يستفيد متجه الهجوم من الطريقة التي تستخدمها المعالجات للتنبؤ بنتائج سلسلة العملية. باستخدام هذه التقنية التنبؤية، تقوم المعالجات بتخزين البيانات الحساسة في ذاكرة النظام في حالة غير آمنة.
إحدى طرق الوصول إلى هذه البيانات تسمى Meltdown، والتي تتطلب برنامجًا خاصًا لالتقاط البيانات. باستخدام Spectre، يمكن للمتسللين خداع التطبيقات والبرامج المشروعة لإسقاط البيانات الحساسة. كلتا الطريقتين نظريتان، ولم يتم استغلالهما حاليًا بشكل نشط، ومع ذلك بدت شركة إنتل محرجة إلى حد ما بشأن المشكلات المحتملة.
"سنستمر في تطوير البرنامج حسب الحاجة لجعله فعالا قدر الإمكان ولمساعدتنا على الوفاء بتعهدنا بالأمان أولا"، كما وعدت إنتل.
توصيات المحررين
- الاتحاد الأوروبي يقدم مكافآت لاكتشاف الثغرات الأمنية في البرمجيات مفتوحة المصدر
ترقية نمط حياتكتساعد الاتجاهات الرقمية القراء على متابعة عالم التكنولوجيا سريع الخطى من خلال أحدث الأخبار ومراجعات المنتجات الممتعة والمقالات الافتتاحية الثاقبة ونظرات خاطفة فريدة من نوعها.
