¿Quieres ganar $250,000 rápidamente? ¿Quién no, verdad? Si tiene el conocimiento para detectar vulnerabilidades en hardware y software, entonces esa recompensa de alto valor podría estar a su alcance. Intel ahora ofrece un programa de recompensas por errores actualizado hasta el 31 de diciembre de 2018, estableciendo esa pequeña cantidad de cambio como el pago máximo por buscar "vulnerabilidades del canal lateral". Estos Las vulnerabilidades son fallas ocultas en operaciones típicas de software y hardware que podrían llevar a los piratas informáticos a datos confidenciales, como el reciente Explotaciones de Meltdown y Spectre.
“En apoyo de nuestra reciente promesa de seguridad primero, hemos realizado varias actualizaciones en nuestro programa”, afirma la empresa. “Creemos que estos cambios nos permitirán involucrar más ampliamente a la comunidad de investigación de seguridad y Proporcionar mejores incentivos para una respuesta y divulgación coordinadas que ayuden a proteger a nuestros clientes y sus datos."
Vídeos recomendados
Intel lanzó originalmente su Programa de recompensas por errores en marzo de 2017 como un plan solo por invitación para investigadores de seguridad seleccionados. Ahora el programa está abierto a todos con la esperanza de minimizar otro descubrimiento tipo Meltdown utilizando un grupo más amplio de investigadores. La compañía también está aumentando los montos de las recompensas para todas las demás recompensas, algunas de las cuales ofrecen hasta 100.000 dólares.
La lista de requisitos de Intel para informar vulnerabilidades de canal lateral es algo corta, incluida la Requisito de edad de 18 años, una brecha de seis meses entre trabajar con Intel y reportar un problema, entre otros requisitos. Todos los informes deben cifrarse con la clave PGP pública Intel PSIRT, deben identificar un problema original no revelado, incluir resultados de cálculo CVSS v3, etc.
Intel quiere que los investigadores de seguridad busquen errores en sus procesadores, conjuntos de chips y unidades de estado sólido independientes productos como NUC, conjuntos de chips de redes y comunicaciones, y matrices de puertas programables en campo integradas circuitos. Intel también enumera cinco tipos de firmware y tres tipos de software que se incluyen en su cobertura de recompensas por errores: controladores, aplicaciones y herramientas.
“Intel otorgará una recompensa por el primer informe de una vulnerabilidad con detalles suficientes para permitir la reproducción por parte de Intel”, afirma la compañía. “Intel otorgará una recompensa de $500 a $250,000 USD dependiendo de la naturaleza de la vulnerabilidad y la calidad y el contenido del informe. El primer informe externo recibido sobre una vulnerabilidad conocida internamente recibirá un premio máximo de $1,500 USD”.
En enero, los investigadores hicieron pública una vulnerabilidad encontrada en procesadores que data de 2011 y que permite a los piratas informáticos acceder a la memoria del sistema y capturar datos confidenciales. El vector de ataque aprovecha un método que utilizan los procesadores para predecir el resultado de una cadena de proceso. Utilizando esta técnica predictiva, los procesadores almacenan datos confidenciales en la memoria del sistema en un estado no seguro.
Un método para obtener acceso a estos datos se llama Meltdown, que requiere un software especial para capturar los datos. Con Spectre, los piratas informáticos podrían engañar a aplicaciones y programas legítimos para que proporcionen datos confidenciales. Ambos métodos son teóricos y actualmente no se explotan activamente en la naturaleza, pero Intel parecía algo avergonzado por los posibles problemas.
"Continuaremos evolucionando el programa según sea necesario para hacerlo lo más efectivo posible y ayudarnos a cumplir nuestro compromiso de dar prioridad a la seguridad", promete Intel.
Recomendaciones de los editores
- La UE ofrecerá recompensas por encontrar fallos de seguridad en software de código abierto
Mejora tu estilo de vidaDigital Trends ayuda a los lectores a mantenerse al tanto del vertiginoso mundo de la tecnología con las últimas noticias, reseñas divertidas de productos, editoriales interesantes y adelantos únicos.
