Kas soovite teenida kiiresti 250 000 dollarit? Kes ei tee, eks? Kui teil on oskusteave riist- ja tarkvara haavatavuste jahtimiseks, võib see kõrge dollariline tasu olla teie käeulatuses. Intel pakub nüüd värskendatud veaprogrammi kuni 31. detsembrini 2018, määrates selle väikese muudatuse maksimaalseks väljamakseks "külgkanalite haavatavuste" jahtimisel. Need haavatavused on tüüpiliste tarkvara- ja riistvaratoimingute varjatud vead, mis võivad viia häkkerid tundlike andmeteni, nagu hiljutine Meltdown ja Spectre vägiteod.
"Meie hiljutise toetuseks tagatise esimene pant, oleme oma programmi teinud mitu värskendust, ”ütleb ettevõte. "Usume, et need muudatused võimaldavad meil laiemalt kaasata julgeolekualaste teadlaste kogukonda ja pakkuda paremaid stiimuleid koordineeritud reageerimiseks ja avalikustamiseks, mis aitab kaitsta meie kliente ja neid andmed."
Soovitatavad videod
Intel käivitas selle algselt Bug Bounty programm märtsil 2017 ainult kutsetega plaanina valitud turvauurijatele. Nüüd on programm avatud kõigile lootuses minimeerida järjekordset Meltdowni tüüpi avastust, kasutades laiemat teadlaste kogumit. Ettevõte tõstab ka kõigi teiste boonuste preemiaid, millest mõned pakuvad kuni 100 000 dollarit.
Inteli nõuete loend külgkanalite haavatavustest teatamiseks on mõnevõrra lühike, sealhulgas 18-aastane vanusenõue, kuuekuuline vahe Inteliga töötamise ja probleemist teatamise vahel, muu hulgas nõuded. Kõik aruanded peavad olema krüptitud Inteli PSIRT avaliku PGP-võtmega, need peavad tuvastama algse avalikustamata probleemi, sisaldama CVSS v3 arvutustulemusi jne.
Intel soovib, et turvateadlased otsiksid vigu oma protsessorites, kiibikomplektides, pooljuhtdraivides ja eraldiseisvates tooted, nagu NUC-id, võrgu- ja sidekiibistikud ning integreeritud väljal programmeeritav väravamassiv ahelad. Intel loetleb ka viit tüüpi püsivara ja kolme tüüpi tarkvara, mis kuuluvad selle veateate alla: draiverid, rakendused ja tööriistad.
“Intel annab Bounty esimese haavatavuse raporti eest, millel on piisavalt üksikasju, et Intel saaks reprodutseerida,“ teatab ettevõte. “Intel annab olenevalt haavatavuse olemusest ning aruande kvaliteedist ja sisust bounty 500–250 000 USD. Esimene sisemiselt teadaoleva haavatavuse kohta saadud väline aruanne saab maksimaalselt 1500 USA dollari suuruse auhinna.
Jaanuaris avalikustasid teadlased 2011. aastast pärit protsessorites leitud haavatavuse, mis võimaldab häkkeritel pääseda juurde süsteemimällu ja haarata tundlikke andmeid. Ründevektor kasutab ära meetodit, mida protsessorid protsessistringi tulemuse ennustamiseks kasutavad. Seda ennustavat tehnikat kasutades salvestavad protsessorid süsteemimällu tundlikke andmeid turvamata olekus.
Üks meetod nendele andmetele juurdepääsu saamiseks on Meltdown, mis nõuab andmete hõivamiseks spetsiaalset tarkvara. Spectre'iga võivad häkkerid petta seaduslikke rakendusi ja programme tundlikke andmeid välja köhima. Mõlemad meetodid on teoreetilised ja praegu looduses neid aktiivselt ei kasutata, kuid Intel tundus võimalike probleemide pärast mõnevõrra piinlikkust.
"Jätkame programmi arendamist vastavalt vajadusele, et muuta see võimalikult tõhusaks ja aidata meil täita oma turvalisusega seotud lubadust," lubab Intel.
Toimetajate soovitused
- EL pakub avatud lähtekoodiga tarkvaras turvavigade leidmise eest veatasusid
Uuendage oma elustiiliDigitaalsed suundumused aitavad lugejatel hoida silma peal kiirel tehnikamaailmal kõigi viimaste uudiste, lõbusate tooteülevaadete, sisukate juhtkirjade ja ainulaadsete lühiülevaadetega.
