Vil du tjene en hurtig $250.000? Hvem gør ikke, vel? Hvis du har know-how til at jage sårbarheder i hardware og software, så kan den høje dollar belønning være inden for rækkevidde. Intel tilbyder nu et opdateret bug bounty-program indtil den 31. december 2018, og sætter den fine lille del af ændringen som den maksimale udbetaling for at jage "sidekanalsårbarheder". Disse sårbarheder er skjulte fejl i typiske software- og hardwareoperationer, der potentielt kan føre hackere til følsomme data, som f. nylig Meltdown og Spectre exploits.
"Til støtte for vores seneste sikkerhed først løfte, vi har lavet adskillige opdateringer til vores program," siger virksomheden. "Vi tror på, at disse ændringer vil gøre os i stand til at engagere sikkerhedsforskningsmiljøet bredere og bredere give bedre incitamenter til koordineret reaktion og offentliggørelse, der hjælper med at beskytte vores kunder og deres data."
Anbefalede videoer
Intel lancerede oprindeligt sin Bug Bounty-program i marts 2017 som en invitations-only plan for udvalgte sikkerhedsforskere. Nu er programmet åbent for alle i håb om at minimere endnu en opdagelse af Meltdown-typen ved at bruge en bredere pulje af forskere. Virksomheden hæver også belønningsbeløbene for alle andre dusører, hvoraf nogle tilbyder op til $100.000.
Intels liste over krav til rapportering af sidekanalsårbarheder er noget kort, inklusive 18-års alderskrav, et seks måneders mellemrum mellem at arbejde med Intel og rapportere et problem, blandt andet krav. Alle rapporter skal være krypteret med Intel PSIRT offentlige PGP-nøgle, de skal identificere et originalt, uoplyst problem, inkludere CVSS v3-beregningsresultater og så videre.
Intel vil have sikkerhedsforskere til at jage fejl i deres processorer, chipsæt, solid state-drev, selvstændige produkter som NUC'er, netværks- og kommunikationschipsæt og feltprogrammerbar gate-array integreret kredsløb. Intel lister også fem typer firmware og tre typer software, der falder ind under dens bug bounty-paraply: drivere, applikationer og værktøjer.
“Intel vil tildele en dusør for den første rapport om en sårbarhed med tilstrækkelige detaljer til at muliggøre gengivelse af Intel,” oplyser virksomheden. “Intel vil tildele en dusør fra $500 til $250.000 USD afhængigt af arten af sårbarheden og kvaliteten og indholdet af rapporten. Den første eksterne rapport modtaget om en internt kendt sårbarhed vil modtage et maksimum på $1.500 USD Award."
I januar offentliggjorde forskere en sårbarhed fundet i processorer, der går tilbage til 2011, og som gør det muligt for hackere at få adgang til systemhukommelsen og få fat i følsomme data. Angrebsvektoren udnytter en metode, som processorer bruger til at forudsige resultatet af en processtreng. Ved at bruge denne forudsigende teknik gemmer processorer følsomme data i systemhukommelsen i en usikker tilstand.
En metode til at få adgang til disse data kaldes Meltdown, som kræver speciel software til at fange dataene. Med Spectre kunne hackere narre legitime apps og programmer til at hoste de følsomme data op. Begge metoder er teoretiske og i øjeblikket ikke aktivt udnyttet i naturen, men alligevel virkede Intel noget flov over de potentielle problemer.
"Vi vil fortsætte med at udvikle programmet efter behov for at gøre det så effektivt som muligt og for at hjælpe os med at opfylde vores løfte om sikkerhed først," lover Intel.
Redaktørens anbefalinger
- EU til at tilbyde fejlbelønninger for at finde sikkerhedsfejl i open source-software
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
