Chcete rychle vydělat 250 000 $? Kdo ne, že? Pokud máte know-how k odhalování zranitelných míst v hardwaru a softwaru, pak by tato vysoká odměna v dolarech mohla být na dosah. Intel nyní nabízí aktualizovaný bug bounty program do 31. prosince 2018, čímž byl tento pěkný malý kousek změny nastaven jako maximální výplata za hledání „zranitelností postranních kanálů“. Tyto zranitelnosti jsou skryté chyby v typických softwarových a hardwarových operacích, které by mohly potenciálně přivést hackery k citlivým datům, jako je např. nedávné Meltdown a Spectre exploity.
„Na podporu našeho nedávného jistota na prvním místě, provedli jsme několik aktualizací našeho programu,“ říká společnost. „Věříme, že tyto změny nám umožní širší zapojení komunity bezpečnostního výzkumu a poskytovat lepší pobídky pro koordinovanou reakci a zveřejňování, které pomáhají chránit naše zákazníky a jejich data."
Doporučená videa
Intel původně spustil svůj Bug Bounty program v březnu 2017 jako plán pouze pro pozvání pro vybrané bezpečnostní výzkumníky. Nyní je program otevřený všem v naději, že minimalizuje další objev typu Meltdown pomocí širší skupiny výzkumníků. Společnost také zvyšuje výši odměn za všechny ostatní odměny, z nichž některé nabízejí až 100 000 $.
Seznam požadavků společnosti Intel na hlášení zranitelností postranních kanálů je poněkud krátký, včetně Požadavek na věk 18 let, mimo jiné šestiměsíční interval mezi prací s Intelem a nahlášením problému požadavky. Všechny zprávy musí být zašifrovány veřejným klíčem PGP Intel PSIRT, musí identifikovat původní nezveřejněný problém, obsahovat výsledky výpočtu CVSS v3 a tak dále.
Intel chce, aby bezpečnostní výzkumníci hledali chyby v jeho procesorech, čipových sadách, jednotkách SSD, samostatných integrované produkty jako NUC, síťové a komunikační čipové sady a programovatelné hradlové pole obvody. Intel také uvádí pět typů firmwaru a tři typy softwaru, které spadají pod jeho zastřešení bug bounty: ovladače, aplikace a nástroje.
“Intel udělí Bounty za první zprávu o zranitelnosti s dostatečnými podrobnostmi, které umožní reprodukci společností Intel,“ uvádí společnost. “Intel udělí Bounty od 500 do 250 000 USD v závislosti na povaze zranitelnosti a kvalitě a obsahu zprávy. První externí zpráva obdržená o interně známé zranitelnosti obdrží odměnu v maximální výši 1 500 USD.“
V lednu vědci zveřejnili zranitelnost procesorů z roku 2011, která hackerům umožňuje získat přístup k systémové paměti a získat citlivá data. Vektor útoku využívá metodu, kterou procesory používají k predikci výsledku procesního řetězce. Pomocí této prediktivní techniky ukládají procesory citlivá data do systémové paměti v nezabezpečeném stavu.
Jedna metoda získání přístupu k těmto datům se nazývá Meltdown, což vyžaduje speciální software pro zachycení dat. Pomocí Spectre by hackeři mohli oklamat legitimní aplikace a programy, aby se vykašlaly na citlivá data. Obě metody jsou teoretické a v současné době nejsou aktivně využívány ve volné přírodě, přesto se zdálo, že Intel je z potenciálních problémů poněkud rozpačitý.
„Budeme pokračovat ve vývoji programu podle potřeby, aby byl co nejúčinnější a pomohl nám splnit náš bezpečnostní závazek,“ slibuje Intel.
Doporučení redakce
- EU nabídne odměny za chyby za nalezení bezpečnostních nedostatků v softwaru s otevřeným zdrojovým kódem
Upgradujte svůj životní stylDigitální trendy pomáhají čtenářům mít přehled o rychle se měnícím světě technologií se všemi nejnovějšími zprávami, zábavnými recenzemi produktů, zasvěcenými úvodníky a jedinečnými náhledy.
