すぐに 250,000 ドルを稼ぎたいですか? そうしない人はいないでしょう? ハードウェアとソフトウェアの脆弱性を見つけ出すノウハウを持っていれば、高額の報酬を手に入れることができるかもしれません。 インテルは現在、更新されたバグ報奨金プログラムを提供しています 2018 年 12 月 31 日まで、このちょっとした小銭が「サイドチャネルの脆弱性」を探索するための最大の支払い額として設定されます。 これら 脆弱性とは、一般的なソフトウェアおよびハードウェアの操作における隠れた欠陥であり、ハッカーが次のような機密データにアクセスする可能性があります。 最近の メルトダウンとスペクターのエクスプロイト.
「私たちの最近の活動をサポートするために、 安全第一の誓約、プログラムにいくつかの更新を加えました」と同社は述べています。 「これらの変更により、セキュリティ研究コミュニティとより広範に関与できるようになると信じています。 当社の顧客とその顧客の保護に役立つ、調整された対応と開示に対するより良いインセンティブを提供します。 データ。"
おすすめ動画
インテルは当初、 バグ報奨金プログラム 2017 年 3 月に、一部のセキュリティ研究者を対象とした招待制プランとして提供されました。 現在、このプログラムは誰にでも公開されており、より幅広い研究者を活用することで新たなメルトダウン型発見を最小限に抑えることを期待している。 同社は他のすべての報奨金の額も引き上げており、中には最大10万ドルを提供するものもある。
サイドチャネルの脆弱性を報告するための Intel の要件リストは、次のとおりやや短いです。 18 歳以上の年齢要件、インテルでの作業から問題の報告までの期間の 6 か月など 要件。 すべてのレポートはインテル PSIRT 公開 PGP キーで暗号化する必要があり、元の未公開の問題を特定し、CVSS v3 の計算結果などを含める必要があります。
Intelは、セキュリティ研究者にプロセッサ、チップセット、ソリッドステートドライブ、スタンドアロンのバグを追跡することを望んでいます NUC、ネットワーキングおよび通信チップセット、フィールドプログラマブル統合ゲートアレイなどの製品 回路。 Intel はまた、バグ報奨金の対象となる 5 種類のファームウェアと、ドライバー、アプリケーション、ツールの 3 種類のソフトウェアをリストしています。
“インテルは、インテルによる再現を可能にするのに十分な詳細を含む脆弱性の最初の報告に対して報奨金を授与します」と同社は述べています。 “インテルは、脆弱性の性質、レポートの品質と内容に応じて、500 米ドルから 250,000 米ドルの報奨金を授与します。 社内で既知の脆弱性に関して受け取った最初の外部報告には、最大 1,500 ドルの報奨金が与えられます。」
1月、研究者らは、ハッカーがシステムメモリにアクセスして機密データを取得することを可能にする、2011年に遡るプロセッサで見つかった脆弱性を公表した。 この攻撃ベクトルは、プロセッサがプロセス文字列の結果を予測するために使用する方法を利用します。 この予測手法を使用して、プロセッサは機密データを安全でない状態でシステム メモリに保存します。
このデータにアクセスする方法の 1 つはメルトダウンと呼ばれ、データをキャプチャするために特別なソフトウェアが必要です。 Spectre を使用すると、ハッカーが正規のアプリやプログラムをだまして機密データを吸い出す可能性があります。 どちらの方法も理論上のものであり、現時点では実際には積極的に悪用されていませんが、Intel は潜在的な問題に対してやや当惑しているようでした。
「私たちはプログラムを可能な限り効果的にし、セキュリティ第一の誓約を果たすために、必要に応じてプログラムを進化させ続けます」とインテルは約束します。
編集者のおすすめ
- EU、オープンソースソフトウェアのセキュリティ上の欠陥を発見した場合にバグ報奨金を提供
ライフスタイルをアップグレードするDigital Trends は、読者が最新ニュース、楽しい製品レビュー、洞察力に富んだ社説、ユニークなスニーク ピークをすべて提供して、ペースの速いテクノロジーの世界を監視するのに役立ちます。
