Haluatko ansaita nopeasti 250 000 dollaria? Kuka ei, eikö? Jos sinulla on taito metsästää laitteiston ja ohjelmiston haavoittuvuuksia, tämä korkean dollarin palkkio voi olla käsissäsi. Intel tarjoaa nyt päivitetyn bug bounty -ohjelman 31. joulukuuta 2018 asti, jolloin tämä mukava pieni palanen asetetaan maksimivoitoksi "sivukanavan haavoittuvuuksien" metsästämisestä. Nämä haavoittuvuudet ovat tyypillisten ohjelmisto- ja laitteistotoimintojen piilotettuja puutteita, jotka saattavat johtaa hakkerit arkaluontoisiin tietoihin, kuten äskettäin Meltdown ja Spectre-hyökkäykset.
"Tueksi viimeaikaista turvallisuuden ensimmäinen lupaus, olemme tehneet useita päivityksiä ohjelmaamme", yritys sanoo. ”Uskomme näiden muutosten antavan meille mahdollisuuden saada laajemmin mukaan turvallisuustutkimusyhteisö ja tarjota parempia kannustimia koordinoituun reagointiin ja julkistamiseen, mikä auttaa suojaamaan asiakkaitamme ja heidän dataa."
Suositellut videot
Intel julkaisi sen alun perin Bug Bounty -ohjelma
maaliskuussa 2017 vain kutsusta valituille tietoturvatutkijoille. Nyt ohjelma on avoin kaikille, jotka haluavat minimoida toisen Meltdown-tyyppisen löydön käyttämällä laajempaa tutkijajoukkoa. Yhtiö nostaa myös kaikkien muiden palkkioiden palkkioita, joista osa tarjoaa jopa 100 000 dollaria.Intelin lista sivukanavien haavoittuvuuksista ilmoittamista koskevista vaatimuksista on melko lyhyt, mukaan lukien 18 vuoden ikävaatimus, kuuden kuukauden tauko Intelin kanssa työskentelyn ja ongelmasta ilmoittamisen välillä mm. vaatimukset. Kaikki raportit on salattava julkisella Intel PSIRT PGP -avaimella, niiden on tunnistettava alkuperäinen julkistamaton ongelma, sisällettävä CVSS v3 -laskentatulokset ja niin edelleen.
Intel haluaa tietoturvatutkijat etsivän vikoja prosessoreissaan, piirisarjoissaan, solid-state-asemissa, itsenäisesti tuotteet, kuten NUC: t, verkko- ja viestintäpiirisarjat ja integroitu kenttäohjelmoitava porttiryhmä piirit. Intel listaa myös viisi laiteohjelmistotyyppiä ja kolmen tyyppisiä ohjelmistoja, jotka kuuluvat sen bugipalkkion alle: ohjaimet, sovellukset ja työkalut.
“Intel myöntää Bountyn ensimmäisestä haavoittuvuusraportista, jossa on riittävät tiedot, jotta Intel voi kopioida sen, yhtiö toteaa. “Intel myöntää Bountyn 500–250 000 USD haavoittuvuuden luonteesta sekä raportin laadusta ja sisällöstä riippuen. Ensimmäinen sisäisesti tunnetusta haavoittuvuudesta saatu ulkoinen raportti saa enintään 1 500 USD: n palkinnon."
Tammikuussa tutkijat julkistivat prosessoreista löydetyn haavoittuvuuden, joka on peräisin vuodelta 2011 ja jonka avulla hakkerit voivat käyttää järjestelmän muistia ja napata arkaluonteisia tietoja. Hyökkäysvektori hyödyntää menetelmää, jota prosessorit käyttävät ennustamaan prosessimerkkijonon lopputulosta. Käyttämällä tätä ennakoivaa tekniikkaa prosessorit tallentavat arkaluonteisia tietoja järjestelmän muistiin suojaamattomassa tilassa.
Eräs tapa päästä näihin tietoihin on nimeltään Meltdown, joka vaatii erikoisohjelmiston tietojen kaappaamiseen. Spectren avulla hakkerit voivat huijata laillisia sovelluksia ja ohjelmia yskimään arkaluontoisia tietoja. Molemmat menetelmät ovat teoreettisia, eikä niitä tällä hetkellä hyödynnetä aktiivisesti luonnossa, mutta Intel näytti olevan hieman hämmentynyt mahdollisista ongelmista.
"Jatkamme ohjelman kehittämistä tarpeen mukaan, jotta se olisi mahdollisimman tehokas ja auttaisi meitä täyttämään turvallisuuslupauksemme", Intel lupaa.
Toimittajien suositukset
- EU tarjoaa bugipalkkioita avoimen lähdekoodin ohjelmistojen tietoturvavirheiden löytämisestä
Päivitä elämäntapasiDigital Trends auttaa lukijoita pysymään tekniikan nopeatempoisessa maailmassa uusimpien uutisten, hauskojen tuotearvostelujen, oivaltavien toimitusten ja ainutlaatuisten kurkistusten avulla.
