Želite brzo zaraditi 250.000 dolara? Tko ne, zar ne? Ako imate znanje kako pronaći ranjivosti u hardveru i softveru, tada bi vam ta visoka nagrada mogla biti nadohvat ruke. Intel sada nudi ažurirani bug bounty program do 31. prosinca 2018., postavljajući taj lijepi mali dio promjene kao maksimalnu isplatu za traženje "ranjivosti sporednih kanala". ove ranjivosti su skriveni nedostaci u tipičnim operacijama softvera i hardvera koji bi hakere potencijalno mogli odvesti do osjetljivih podataka, poput nedavni Meltdown i Spectre eksploatacije.
“U prilog našem nedavnom sigurnost-prvi zalog, napravili smo nekoliko ažuriranja našeg programa,” kažu iz tvrtke. “Vjerujemo da će nam ove promjene omogućiti šire uključivanje zajednice istraživanja sigurnosti i pružiti bolje poticaje za koordinirani odgovor i otkrivanje podataka koji pomažu u zaštiti naših kupaca i njihovih kupaca podaci."
Preporučeni videozapisi
Intel je izvorno lansirao svoj Bug Bounty program u ožujku 2017. kao plan samo uz pozivnicu za odabrane istraživače sigurnosti. Sada je program otvoren za sve u nadi da će minimizirati još jedno otkriće tipa Meltdown korištenjem veće grupe istraživača. Tvrtka također podiže iznose nagrada za sve druge nagrade, od kojih neke nude i do 100.000 dolara.
Intelov popis zahtjeva za prijavu ranjivosti bočnog kanala donekle je kratak, uključujući Zahtjev za dob od 18 godina, razmak od šest mjeseci između rada s Intelom i prijave problema, između ostalog zahtjevi. Sva izvješća moraju biti šifrirana s Intel PSIRT javnim PGP ključem, moraju identificirati izvorni neobjavljeni problem, uključivati CVSS v3 rezultate izračuna, i tako dalje.
Intel želi da sigurnosni istraživači pronađu pogreške u njegovim procesorima, čipsetovima, solid state diskovima, samostalnim proizvodi poput NUC-ova, skupova čipova za umrežavanje i komunikaciju te integriranog niza vrata koji se može programirati na terenu sklopovi. Intel također navodi pet vrsta firmvera i tri vrste softvera koji potpadaju pod njegov bug bounty kišobran: upravljački programi, aplikacije i alati.
“Intel će dodijeliti Bounty nagradu za prvo izvješće o ranjivosti s dovoljno detalja da omogući reprodukciju od strane Intela,” navodi tvrtka. “Intel će dodijeliti nagradu od 500 USD do 250.000 USD ovisno o prirodi ranjivosti te kvaliteti i sadržaju izvješća. Prvo primljeno vanjsko izvješće o interno poznatoj ranjivosti dobit će nagradu od najviše 1500 USD.”
U siječnju su istraživači izašli u javnost s ranjivošću pronađenom u procesorima iz 2011. koja hakerima omogućuje pristup memoriji sustava i preuzimanje osjetljivih podataka. Vektor napada koristi prednosti metode koju procesori koriste za predviđanje ishoda procesnog niza. Koristeći ovu tehniku predviđanja, procesori pohranjuju osjetljive podatke u memoriju sustava u nezaštićenom stanju.
Jedna metoda dobivanja pristupa tim podacima zove se Meltdown, koja zahtijeva poseban softver za snimanje podataka. Uz Spectre, hakeri bi mogli prevariti legitimne aplikacije i programe da iskašljaju osjetljive podatke. Obje su metode teoretske i trenutačno se aktivno ne iskorištavaju u divljini, no činilo se da je Intelu donekle neugodno zbog potencijalnih problema.
"Nastavit ćemo razvijati program prema potrebi kako bi bio što učinkovitiji i kako bi nam pomogli ispuniti naše obećanje da je sigurnost na prvom mjestu", obećava Intel.
Preporuke urednika
- EU će ponuditi nagrade za bugove za pronalaženje sigurnosnih nedostataka u softveru otvorenog koda
Nadogradite svoj životni stilDigitalni trendovi pomažu čitateljima da prate brzi svijet tehnologije sa svim najnovijim vijestima, zabavnim recenzijama proizvoda, pronicljivim uvodnicima i jedinstvenim brzim pregledima.
