გსურთ მიიღოთ სწრაფი $250,000? ვინ არა, არა? თუ თქვენ გაქვთ ცოდნა, რომ მოძებნოთ დაუცველობა აპარატურასა და პროგრამულ უზრუნველყოფაში, მაშინ ეს მაღალი დოლარის ჯილდო შეიძლება იყოს თქვენი ხელთ. Intel ახლა გთავაზობთ განახლებულ bug bounty პროგრამას 2018 წლის 31 დეკემბრამდე, დაწესებულია ცვლილების ეს ლამაზი პატარა ნაწილი, როგორც მაქსიმალური ანაზღაურება „გვერდითი არხის დაუცველობაზე“ ნადირობისთვის. ესენი დაუცველობა არის დამალული ხარვეზები ტიპიურ პროგრამულ და აპარატურულ ოპერაციებში, რამაც შეიძლება პოტენციურად მიიყვანოს ჰაკერები მგრძნობიარე მონაცემებზე, როგორიცაა ბოლო Meltdown და Spectre ექსპლოიტები.
„ჩვენი ბოლოდროინდელი მხარდასაჭერად უსაფრთხოების პირველი პირობა, ჩვენ განვახორციელეთ რამდენიმე განახლება ჩვენს პროგრამაში“, - აცხადებენ კომპანიაში. „ჩვენ გვჯერა, რომ ეს ცვლილებები საშუალებას მოგვცემს უფრო ფართოდ ჩავრთოთ უსაფრთხოების კვლევის საზოგადოება და უზრუნველყოს უკეთესი სტიმული კოორდინირებული რეაგირებისთვის და გამჟღავნებისთვის, რაც ხელს უწყობს ჩვენი მომხმარებლების და მათი მომხმარებლების დაცვას მონაცემები.”
რეკომენდებული ვიდეოები
Intel-მა თავდაპირველად გამოუშვა თავისი Bug Bounty პროგრამა 2017 წლის მარტში, როგორც მხოლოდ მოწვევის გეგმა უსაფრთხოების შერჩეული მკვლევრებისთვის. ახლა პროგრამა ღიაა ყველასთვის იმ იმედით, რომ შემცირდება კიდევ ერთი Meltdown-ის ტიპის აღმოჩენა მკვლევართა უფრო ფართო ჯგუფის გამოყენებით. კომპანია ასევე ზრდის ჯილდოს ოდენობას ყველა სხვა ბონუსისთვის, რომელთაგან ზოგიერთი გთავაზობთ $100,000-მდე.
Intel-ის მოთხოვნების სია გვერდითი არხის დაუცველობის შესახებ მოხსენებისთვის გარკვეულწილად მოკლეა, მათ შორის 18 წლის ასაკის მოთხოვნა, ექვსთვიანი შუალედი Intel-თან მუშაობასა და პრობლემის მოხსენებას შორის, სხვათა შორის მოთხოვნები. ყველა მოხსენება უნდა იყოს დაშიფრული Intel PSIRT საჯარო PGP გასაღებით, მათ უნდა ამოიცნონ ორიგინალური გაურკვეველი პრობლემა, შეიცავდეს CVSS v3 გამოთვლის შედეგებს და ა.შ.
Intel-ს სურს უსაფრთხოების მკვლევარებმა დაადგინონ შეცდომები მის პროცესორებში, ჩიპსეტებში, მყარი მდგომარეობის დისკებში, ცალკე პროდუქტები, როგორიცაა NUC, ქსელის და კომუნიკაციის ჩიპსეტები და საველე პროგრამირებადი კარიბჭის მასივი, ინტეგრირებული სქემები. Intel ასევე ჩამოთვლის პროგრამული უზრუნველყოფის ხუთ ტიპს და პროგრამული უზრუნველყოფის სამ ტიპს, რომლებიც ექვემდებარება bug bounty-ს: დრაივერები, აპლიკაციები და ინსტრუმენტები.
“Intel დააჯილდოებს Bounty-ს დაუცველობის პირველი მოხსენებისთვის საკმარისი დეტალებით, რათა შესაძლებელი გახდეს Intel-ის მიერ რეპროდუქცია“, - აცხადებენ კომპანიაში. “Intel დააჯილდოებს Bounty-ს $500-დან $250,000 აშშ დოლარამდე, დაუცველობის ხასიათისა და ხარისხისა და ანგარიშის შინაარსის მიხედვით. შიდა ცნობილ დაუცველობაზე მიღებული პირველი გარე ანგარიში მიიღებს მაქსიმუმ $1,500 აშშ დოლარის ჯილდოს.”
იანვარში მკვლევარებმა საჯაროდ გამოაცხადეს დაუცველობა, რომელიც აღმოჩენილია 2011 წლით დათარიღებულ პროცესორებში, რაც ჰაკერებს საშუალებას აძლევს შევიდნენ სისტემის მეხსიერებაში და აითვისონ მგრძნობიარე მონაცემები. თავდასხმის ვექტორი იყენებს მეთოდს, რომელსაც პროცესორები იყენებენ პროცესის სტრიქონის შედეგის პროგნოზირებისთვის. ამ პროგნოზირების ტექნიკის გამოყენებით, პროცესორები ინახავს მგრძნობიარე მონაცემებს სისტემის მეხსიერებაში დაუცველ მდგომარეობაში.
ამ მონაცემებზე წვდომის ერთ-ერთ მეთოდს ეწოდება Meltdown, რომელიც საჭიროებს სპეციალურ პროგრამულ უზრუნველყოფას მონაცემთა გადასაღებად. Spectre-ით ჰაკერებს შეეძლოთ ლეგიტიმური აპლიკაციები და პროგრამები მოატყუონ მგრძნობიარე მონაცემების ამოსაღებად. ორივე მეთოდი თეორიულია და ამჟამად არ არის აქტიური ექსპლუატაციაში ველურ ბუნებაში, თუმცა ინტელი გარკვეულწილად უხერხულად ჩანდა პოტენციური საკითხების გამო.
„ჩვენ გავაგრძელებთ პროგრამის განვითარებას საჭიროებისამებრ, რათა ის მაქსიმალურად ეფექტური გავხადოთ და დაგვეხმაროს უსაფრთხოების პირველი პირობის შესრულებაში“, გვპირდება Intel.
რედაქტორების რეკომენდაციები
- ევროკავშირი შესთავაზებს შეცდომებს ღია პროგრამულ უზრუნველყოფაში უსაფრთხოების ხარვეზების აღმოსაჩენად
განაახლეთ თქვენი ცხოვრების წესიDigital Trends ეხმარება მკითხველს თვალყური ადევნონ ტექნოლოგიების სწრაფ სამყაროს ყველა უახლესი სიახლეებით, სახალისო პროდუქტების მიმოხილვებით, გამჭრიახი რედაქციებითა და უნიკალური თვალით.
