Szeretne gyorsan 250 000 dollárt keresni? Kinek nem, igaz? Ha rendelkezik a hardver és szoftver sebezhetőségeinek felkutatásához szükséges know-how-val, akkor ez a magas dollár jutalom kéznél lehet. Az Intel most egy frissített hibajavító programot kínál 2018. december 31-ig, ezt a szép kis változást beállítva a „mellékcsatornás sebezhetőségek” levadászásának maximális kifizetéseként. Ezek A sérülékenységek a tipikus szoftver- és hardverműveletek rejtett hibái, amelyek potenciálisan érzékeny adatokhoz vezethetik a hackereket, mint pl. friss Meltdown és Spectre exploit.
„A közelmúltunk támogatására biztosíték-első zálog, több frissítést is végrehajtottunk a programunkon” – mondja a vállalat. „Úgy gondoljuk, hogy ezek a változások lehetővé teszik számunkra, hogy szélesebb körben bevonjuk a biztonságkutató közösséget és jobb ösztönzést nyújtanak az összehangolt válaszadásra és nyilvánosságra hozatalra, amelyek segítik ügyfeleink és ügyfeleik védelmét adat."
Ajánlott videók
Eredetileg az Intel indította el
Bug Bounty Program 2017 márciusában csak meghívásos tervként kiválasztott biztonsági kutatók számára. A program most mindenki előtt nyitva áll, abban a reményben, hogy a kutatók szélesebb körének felhasználásával minimalizálják az újabb Meltdown-típusú felfedezéseket. A vállalat az összes többi jutalomért is emeli a jutalom összegét, amelyek közül néhány akár 100 000 dollárt is kínál.Az Intel oldalcsatornák biztonsági résének bejelentésére vonatkozó követelmények listája kissé rövid, beleértve a 18 éves korhatár, hat hónapos szünet az Intellel való együttműködés és a probléma bejelentése között, többek között követelményeknek. Minden jelentést Intel PSIRT nyilvános PGP-kulccsal kell titkosítani, azonosítani kell egy eredeti, nem nyilvános problémát, tartalmaznia kell a CVSS v3 számítási eredményeit stb.
Az Intel azt akarja, hogy a biztonsági kutatók feltárják a hibákat a processzoraiban, lapkakészleteiben, szilárdtestalapú meghajtóiban, önállóan olyan termékek, mint a NUC-ok, hálózati és kommunikációs lapkakészletek, valamint integrált terepi programozható kaputömb áramkörök. Az Intel ötféle firmware-t és három szoftvertípust is felsorol, amelyek a bug bounty ernyője alá tartoznak: illesztőprogramok, alkalmazások és eszközök.
“Az Intel Bounty-t fog jutalmazni a sebezhetőség első bejelentéséért, amely elegendő részlettel rendelkezik ahhoz, hogy lehetővé tegye az Intel általi reprodukálást” – állítja a vállalat. “Az Intel 500 és 250 000 USD közötti jutalmat ítél a sebezhetőség természetétől, valamint a jelentés minőségétől és tartalmától függően. A belsőleg ismert sebezhetőségről kapott első külső jelentés legfeljebb 1500 USD díjat kap.”
Januárban a kutatók nyilvánosságra hozták a processzorokban talált, 2011-ig tartó sérülékenységet, amely lehetővé teszi a hackerek számára, hogy hozzáférjenek a rendszermemóriához és megragadják az érzékeny adatokat. A támadási vektor kihasználja azt a módszert, amelyet a processzorok használnak egy folyamatkarakterlánc kimenetelének előrejelzésére. Ezzel a prediktív technikával a processzorok érzékeny adatokat tárolnak a rendszermemóriában nem biztonságos állapotban.
Az adatokhoz való hozzáférés egyik módja a Meltdown, amely speciális szoftvert igényel az adatok rögzítéséhez. A Spectre segítségével a hackerek törvényes alkalmazásokat és programokat csalhatnak meg az érzékeny adatok kiköhögésére. Mindkét módszer elméleti, és jelenleg nem használják ki aktívan a vadonban, az Intel mégis kissé zavarba jött a lehetséges problémák miatt.
„Továbbra is fejlesztjük a programot, ha szükséges, hogy a lehető leghatékonyabbá tegyük, és segítsünk teljesíteni a biztonsággal kapcsolatos ígéretünket” – ígéri az Intel.
Szerkesztői ajánlások
- Az EU hibadíjat ajánl a nyílt forráskódú szoftverek biztonsági hibáinak feltárásáért
Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.
