Θέλετε να κάνετε γρήγορα $250.000; Ποιος δεν το κάνει, σωστά; Εάν διαθέτετε την τεχνογνωσία για να κυνηγήσετε τις ευπάθειες στο υλικό και το λογισμικό, τότε αυτή η ανταμοιβή υψηλού δολαρίου θα μπορούσε να είναι στα χέρια σας. Η Intel προσφέρει τώρα ένα ενημερωμένο πρόγραμμα bug bounty έως τις 31 Δεκεμβρίου 2018, ορίζοντας αυτό το ωραίο μικρό κομμάτι αλλαγής ως τη μέγιστη πληρωμή για την αναζήτηση "τρωτών σημείων του πλευρικού καναλιού". Αυτά τα Τα τρωτά σημεία είναι κρυμμένα ελαττώματα σε τυπικές λειτουργίες λογισμικού και υλικού που θα μπορούσαν δυνητικά να οδηγήσουν τους χάκερ σε ευαίσθητα δεδομένα, όπως πρόσφατος Meltdown και Spectre εκμεταλλεύσεις.
«Στην υποστήριξη των πρόσφατων μας δέσμευση πρώτης ασφάλειας, έχουμε κάνει αρκετές ενημερώσεις στο πρόγραμμά μας», λέει η εταιρεία. «Πιστεύουμε ότι αυτές οι αλλαγές θα μας επιτρέψουν να εμπλακούμε ευρύτερα στην ερευνητική κοινότητα ασφάλειας και παρέχουν καλύτερα κίνητρα για συντονισμένη απάντηση και αποκάλυψη που συμβάλλουν στην προστασία των πελατών μας και των πελατών τους δεδομένα."
Προτεινόμενα βίντεο
Η Intel κυκλοφόρησε αρχικά το Πρόγραμμα Bug Bounty τον Μάρτιο του 2017 ως σχέδιο μόνο με πρόσκληση για επιλεγμένους ερευνητές ασφάλειας. Τώρα το πρόγραμμα είναι ανοιχτό σε όλους με την ελπίδα να ελαχιστοποιηθεί μια άλλη ανακάλυψη τύπου Meltdown χρησιμοποιώντας μια ευρύτερη ομάδα ερευνητών. Η εταιρεία αυξάνει επίσης τα ποσά ανταμοιβής για όλα τα άλλα bounties, μερικά από τα οποία προσφέρουν έως και $100.000.
Η λίστα απαιτήσεων της Intel για την αναφορά ευπάθειας του πλευρικού καναλιού είναι κάπως σύντομη, συμπεριλαμβανομένων των Απαίτηση ηλικίας 18 ετών, κενό έξι μηνών μεταξύ της συνεργασίας με την Intel και της αναφοράς ενός προβλήματος, μεταξύ άλλων απαιτήσεις. Όλες οι αναφορές πρέπει να είναι κρυπτογραφημένες με το δημόσιο κλειδί PGP της Intel PSIRT, πρέπει να προσδιορίζουν ένα αρχικό άγνωστο πρόβλημα, να περιλαμβάνουν αποτελέσματα υπολογισμού CVSS v3 κ.λπ.
Η Intel θέλει τους ερευνητές ασφαλείας να αναζητήσουν σφάλματα στους επεξεργαστές, τα chipset, τις μονάδες SSD, αυτόνομα προϊόντα όπως NUC, chipset δικτύωσης και επικοινωνίας και ενσωματωμένη συστοιχία πυλών με δυνατότητα προγραμματισμού πεδίου κυκλώματα. Η Intel απαριθμεί επίσης πέντε τύπους υλικολογισμικού και τρεις τύπους λογισμικού που εμπίπτουν στην ομπρέλα του bug bounty: προγράμματα οδήγησης, εφαρμογές και εργαλεία.
“Η Intel θα απονείμει Bounty για την πρώτη αναφορά ευπάθειας με επαρκείς λεπτομέρειες για να επιτρέψει την αναπαραγωγή από την Intel», αναφέρει η εταιρεία. “Η Intel θα απονείμει Bounty από $500 έως $250.000 USD ανάλογα με τη φύση της ευπάθειας και την ποιότητα και το περιεχόμενο της αναφοράς. Η πρώτη εξωτερική αναφορά που λαμβάνεται για μια εσωτερικά γνωστή ευπάθεια θα λάβει το μέγιστο βραβείο $1.500 USD."
Τον Ιανουάριο, οι ερευνητές δημοσιοποίησαν μια ευπάθεια που βρέθηκε σε επεξεργαστές που χρονολογείται από το 2011 και επιτρέπει στους χάκερ να έχουν πρόσβαση στη μνήμη του συστήματος και να αρπάξουν ευαίσθητα δεδομένα. Το διάνυσμα επίθεσης εκμεταλλεύεται μια μέθοδο που χρησιμοποιούν οι επεξεργαστές για να προβλέψουν το αποτέλεσμα μιας συμβολοσειράς διεργασίας. Χρησιμοποιώντας αυτήν την τεχνική πρόβλεψης, οι επεξεργαστές αποθηκεύουν ευαίσθητα δεδομένα στη μνήμη του συστήματος σε μη ασφαλή κατάσταση.
Μια μέθοδος απόκτησης πρόσβασης σε αυτά τα δεδομένα ονομάζεται Meltdown, η οποία απαιτεί ειδικό λογισμικό για τη λήψη των δεδομένων. Με το Spectre, οι χάκερ θα μπορούσαν να εξαπατήσουν νόμιμες εφαρμογές και προγράμματα για να βήξουν τα ευαίσθητα δεδομένα. Και οι δύο μέθοδοι είναι θεωρητικές και επί του παρόντος δεν αξιοποιούνται ενεργά στη φύση, ωστόσο η Intel φαινόταν κάπως αμήχανη για τα πιθανά ζητήματα.
«Θα συνεχίσουμε να εξελίσσουμε το πρόγραμμα όσο χρειάζεται για να το κάνουμε όσο το δυνατόν πιο αποτελεσματικό και για να μας βοηθήσουμε να εκπληρώσουμε την πρώτη μας υπόσχεση για την ασφάλεια», υπόσχεται η Intel.
Συστάσεις των συντακτών
- Η ΕΕ θα προσφέρει επιδόματα σφαλμάτων για την εύρεση ελαττωμάτων ασφαλείας σε λογισμικό ανοιχτού κώδικα
Αναβαθμίστε τον τρόπο ζωής σαςΤο Digital Trends βοηθά τους αναγνώστες να παρακολουθούν τον γρήγορο κόσμο της τεχνολογίας με όλα τα τελευταία νέα, διασκεδαστικές κριτικές προϊόντων, διορατικά editorial και μοναδικές κρυφές ματιές.
