רוצה להרוויח 250,000 דולר מהיר? מי לא, נכון? אם יש לך את הידע לחפש נקודות תורפה בחומרה ובתוכנה, אז התגמול בדולר גבוה יכול להיות בהישג ידך. אינטל מציעה כעת תוכנית באגים מעודכנת עד ה-31 בדצמבר 2018, וקבע את גוש השינוי הקטן והנחמד הזה בתור התשלום המקסימלי לחיפוש אחר "פגיעויות בערוץ צדדי". אלה פגיעויות הן פגמים נסתרים בפעולות תוכנה וחומרה טיפוסיות שעלולות להוביל האקרים לנתונים רגישים, כמו לאחרונה מעללי התמוטטות וספקטר.
"לתמיכה באחרונה שלנו הבטחה ראשונה במעלה, ביצענו מספר עדכונים לתוכנית שלנו", אומרת החברה. "אנו מאמינים שהשינויים הללו יאפשרו לנו לעסוק באופן רחב יותר בקהילת מחקרי האבטחה לספק תמריצים טובים יותר לתגובה וחשיפה מתואמת המסייעים להגן על הלקוחות שלנו ושלהם נתונים."
סרטונים מומלצים
אינטל השיקה את זה במקור תוכנית באג באונטי במרץ 2017 כתוכנית להזמנה בלבד עבור חוקרי אבטחה נבחרים. כעת התוכנית פתוחה לכולם בתקווה למזער גילוי נוסף מסוג Meltdown באמצעות מאגר רחב יותר של חוקרים. החברה גם מגייסת את סכומי התגמול עבור כל יתר הפרסים, שחלקם מציעים עד $100,000.
רשימת הדרישות של אינטל לדיווח על פגיעויות בערוץ צדדי קצרה במקצת, כולל דרישת גיל 18, פער של שישה חודשים בין עבודה עם אינטל לדיווח על בעיה, בין היתר דרישות. כל הדוחות חייבים להיות מוצפנים עם מפתח PGP הציבורי של Intel PSIRT, עליהם לזהות בעיה מקורית שלא נחשפה, לכלול תוצאות חישוב CVSS v3 וכן הלאה.
אינטל רוצה שחוקרני אבטחה יחפשו באגים במעבדים, ערכות השבבים, כונני המצב המוצק שלה, עצמאיים מוצרים כמו NUCs, ערכות שבבי רשת ותקשורת, ומערך שערים הניתנים לתכנות בשטח משולבים מעגלים. אינטל מפרטת גם חמישה סוגים של קושחה ושלושה סוגים של תוכנות הנכללות תחת מטריית הבאגים שלה: מנהלי התקנים, יישומים וכלים.
“אינטל תעניק פרס עבור הדיווח הראשון של פגיעות עם פרטים מספיקים כדי לאפשר רפרודוקציה על ידי אינטל", מצהירה החברה. “אינטל תעניק פרס מ-$500 עד $250,000 דולר, בהתאם לאופי הפגיעות, האיכות והתוכן של הדוח. הדוח החיצוני הראשון שיתקבל על פגיעות ידועה פנימית יקבל פרס של 1,500 דולר לכל היותר".
בינואר פרסמו חוקרים פגיעות שנמצאה במעבדים משנת 2011 המאפשרת להאקרים לגשת לזיכרון המערכת ולחטוף נתונים רגישים. וקטור ההתקפה מנצל את השיטה שבה משתמשים מעבדים כדי לחזות את התוצאה של מחרוזת תהליך. באמצעות טכניקת חיזוי זו, מעבדים מאחסנים נתונים רגישים בזיכרון המערכת במצב לא מאובטח.
שיטה אחת לקבל גישה לנתונים האלה נקראת Meltdown, שדורשת תוכנה מיוחדת כדי ללכוד את הנתונים. עם Spectre, האקרים יכולים להערים על אפליקציות ותכניות לגיטימיות להשתעל את הנתונים הרגישים. שתי השיטות הן תיאורטיות, וכרגע אינן מנוצלות באופן פעיל בטבע, אולם אינטל נראתה מעט נבוכה מהבעיות הפוטנציאליות.
"נמשיך לפתח את התוכנית לפי הצורך כדי להפוך אותה לאפקטיבית ככל האפשר וכדי לעזור לנו למלא את ההבטחה הראשונה שלנו בתחום האבטחה", מבטיחה אינטל.
המלצות עורכים
- האיחוד האירופי יציע פרסי באגים למציאת פגמי אבטחה בתוכנת קוד פתוח
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.
