Vuoi guadagnare velocemente $ 250.000? Chi non lo fa, giusto? Se hai il know-how per scovare le vulnerabilità nell’hardware e nel software, allora quella ricompensa elevata potrebbe essere alla tua portata. Intel offre ora un programma bug bounty aggiornato fino al 31 dicembre 2018, fissando quella piccola parte di cambiamento come il pagamento massimo per la caccia alle “vulnerabilità del canale laterale”. Questi le vulnerabilità sono difetti nascosti nelle tipiche operazioni software e hardware che potrebbero potenzialmente portare gli hacker a dati sensibili, come i recente Exploit di Meltdown e Spectre.
“A sostegno del nostro recente impegno di sicurezza al primo posto, abbiamo apportato diversi aggiornamenti al nostro programma", afferma l'azienda. “Crediamo che questi cambiamenti ci consentiranno di coinvolgere in modo più ampio la comunità di ricerca sulla sicurezza fornire incentivi migliori per una risposta e una divulgazione coordinate che aiutino a proteggere i nostri clienti e i loro dati."
Video consigliati
Intel ha originariamente lanciato il suo Programma Bug Bounty nel marzo 2017 come piano solo su invito per ricercatori selezionati nel campo della sicurezza. Ora il programma è aperto a tutti nella speranza di ridurre al minimo un’altra scoperta di tipo Meltdown utilizzando un pool più ampio di ricercatori. La società sta inoltre aumentando gli importi delle ricompense per tutti gli altri premi, alcuni dei quali offrono fino a $ 100.000.
L'elenco dei requisiti di Intel per la segnalazione delle vulnerabilità del canale laterale è piuttosto breve e include: Requisito di età pari a 18 anni, un intervallo di sei mesi tra la collaborazione con Intel e la segnalazione di un problema, tra gli altri requisiti. Tutti i report devono essere crittografati con la chiave PGP pubblica Intel PSIRT, devono identificare un problema originale non divulgato, includere i risultati del calcolo CVSS v3 e così via.
Intel vuole che i ricercatori di sicurezza diano la caccia ai bug nei suoi processori, chipset, unità a stato solido e autonomi prodotti come NUC, chipset di rete e comunicazione e array di porte programmabili sul campo integrati circuiti. Intel elenca anche cinque tipi di firmware e tre tipi di software che rientrano nel suo programma di bug bounty: driver, applicazioni e strumenti.
“Intel assegnerà un premio per la prima segnalazione di una vulnerabilità con dettagli sufficienti per consentirne la riproduzione da parte di Intel", afferma la società. “Intel assegnerà una ricompensa da $ 500 a $ 250.000 a seconda della natura della vulnerabilità, della qualità e del contenuto del rapporto. La prima segnalazione esterna ricevuta su una vulnerabilità nota internamente riceverà un premio massimo di 1.500 dollari."
A gennaio, i ricercatori hanno reso pubblica una vulnerabilità riscontrata nei processori risalenti al 2011 che consente agli hacker di accedere alla memoria di sistema e impossessarsi di dati sensibili. Il vettore di attacco sfrutta un metodo utilizzato dai processori per prevedere il risultato di una stringa di processo. Utilizzando questa tecnica predittiva, i processori archiviano i dati sensibili nella memoria di sistema in uno stato non protetto.
Un metodo per accedere a questi dati è chiamato Meltdown, che richiede un software speciale per acquisire i dati. Con Spectre, gli hacker potrebbero indurre app e programmi legittimi a rivelare dati sensibili. Entrambi i metodi sono teorici e al momento non vengono sfruttati attivamente, ma Intel sembrava un po' imbarazzata per i potenziali problemi.
"Continueremo a sviluppare il programma secondo necessità per renderlo il più efficace possibile e per aiutarci a mantenere il nostro impegno in termini di sicurezza", promette Intel.
Raccomandazioni degli editori
- L'UE offrirà premi per i bug per l'individuazione di difetti di sicurezza nel software open source
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, divertenti recensioni di prodotti, editoriali approfonditi e anteprime uniche nel loro genere.
