Искате ли да спечелите бързо $250 000? Кой не го прави, нали? Ако имате ноу-хау да откривате уязвимости в хардуера и софтуера, тогава тази висока награда в долари може да бъде в ръцете ви. Intel вече предлага актуализирана програма за награди за грешки до 31 декември 2018 г., определяйки тази хубава малка част от промяната като максимално изплащане за откриване на „уязвимости в страничните канали“. Тези уязвимостите са скрити пропуски в типичните софтуерни и хардуерни операции, които потенциално биха могли да доведат хакерите до чувствителни данни, като скорошни Експлойти на Meltdown и Spectre.
„В подкрепа на нашите скорошни гаранция-първи залог, ние направихме няколко актуализации на нашата програма“, казва компанията. „Вярваме, че тези промени ще ни позволят да ангажираме по-широко общността за изследване на сигурността и предоставят по-добри стимули за координиран отговор и разкриване, които помагат за защитата на нашите клиенти и техните данни."
Препоръчани видеоклипове
Intel първоначално пусна своя
Програма за награди за грешки през март 2017 г. като план само с покана за избрани изследователи по сигурността. Сега програмата е отворена за всички с надеждата да сведе до минимум друго откритие от типа Meltdown чрез използване на по-широк набор от изследователи. Компанията също така повишава сумите на наградите за всички други награди, някои от които предлагат до $100 000.Списъкът с изисквания на Intel за докладване на уязвимости в страничните канали е малко кратък, включително Изискване за навършване на 18 години, шестмесечна разлика между работата с Intel и докладването на проблем, наред с други изисквания. Всички отчети трябва да бъдат криптирани с публичния PGP ключ на Intel PSIRT, те трябва да идентифицират оригинален неразкрит проблем, да включват резултати от изчисления на CVSS v3 и т.н.
Intel иска изследователи по сигурността да откриват грешки в неговите процесори, чипсети, SSD дискове, самостоятелни продукти като NUC, мрежови и комуникационни чипсети и интегрирани полеви програмируеми гейт масиви вериги. Intel също така изброява пет вида фърмуер и три вида софтуер, които попадат под неговия чадър за награди за грешки: драйвери, приложения и инструменти.
“Intel ще награди Bounty за първия доклад за уязвимост с достатъчно подробности, за да позволи възпроизвеждането от Intel“, посочва компанията. “Intel ще присъди награда от $500 до $250 000 USD в зависимост от естеството на уязвимостта и качеството и съдържанието на доклада. Първият получен външен доклад за вътрешно известна уязвимост ще получи награда от максимум $1500 USD.“
През януари изследователите излязоха публично с уязвимост, открита в процесори от 2011 г., която позволява на хакерите да получат достъп до системната памет и да вземат чувствителни данни. Векторът на атака се възползва от метод, който процесорите използват за прогнозиране на резултата от процесния низ. Използвайки тази предсказуема техника, процесорите съхраняват чувствителни данни в системната памет в незащитено състояние.
Един метод за получаване на достъп до тези данни се нарича Meltdown, който изисква специален софтуер за улавяне на данните. Със Spectre хакерите могат да подмамят законни приложения и програми да изкашлят чувствителните данни. И двата метода са теоретични и в момента не се използват активно в дивата природа, но Intel изглеждаше донякъде смутен от потенциалните проблеми.
„Ние ще продължим да развиваме програмата според нуждите, за да я направим възможно най-ефективна и да ни помогне да изпълним обещанието си за сигурност на първо място“, обещава Intel.
Препоръки на редакторите
- ЕС ще предложи награди за грешки за намиране на пропуски в сигурността в софтуер с отворен код
Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.
