Norite greitai uždirbti 250 000 USD? Kas ne, tiesa? Jei turite žinių, kaip surasti aparatūros ir programinės įrangos pažeidžiamumą, tuomet šis didelis atlygis gali būti jūsų rankose. „Intel“ dabar siūlo atnaujintą „Bug Bounty“ programą iki 2018 m. gruodžio 31 d., nustatant tą gražią mažą pakeitimų dalį kaip didžiausią išmoką už „šoninio kanalo pažeidžiamumų“ sumedžiojimą. Šie pažeidžiamumas yra paslėpti tipinių programinės ir aparatinės įrangos operacijų trūkumai, dėl kurių įsilaužėliai gali patekti į jautrius duomenis, pvz., neseniai Meltdown ir Spectre išnaudojimai.
„Palaikydama mūsų neseniai saugumas – pirmasis įkeitimas, atlikome keletą savo programos atnaujinimų“, – teigia bendrovė. „Manome, kad šie pokyčiai leis mums plačiau įtraukti saugumo tyrimų bendruomenę ir teikti geresnes paskatas koordinuotam reaguoti ir atskleisti informaciją, kuri padeda apsaugoti mūsų klientus ir jų duomenis“.
Rekomenduojami vaizdo įrašai
Iš pradžių „Intel“ išleido savo Programa „Bug Bounty“. 2017 m. kovo mėn. kaip planas, skirtas tik pakviestiems saugumo tyrinėtojams. Dabar programa yra atvira visiems, tikintis sumažinti kitą Meltdown tipo atradimą naudojant platesnį tyrėjų būrį. Bendrovė taip pat didina atlygio sumas už visas kitas premijas, kai kurios iš jų siūlo iki 100 000 USD.
„Intel“ reikalavimų, reikalingų pranešti apie šoninio kanalo pažeidžiamumą, sąrašas yra šiek tiek trumpas, įskaitant 18 metų amžiaus reikalavimas, šešių mėnesių skirtumas tarp darbo su „Intel“ ir pranešimo apie problemą, be kita ko reikalavimus. Visos ataskaitos turi būti užšifruotos Intel PSIRT viešuoju PGP raktu, jose turi būti nustatyta originali neatskleista problema, įtraukti CVSS v3 skaičiavimo rezultatai ir pan.
„Intel“ nori, kad saugumo tyrinėtojai ieškotų klaidų savo procesoriuose, mikroschemų rinkiniuose, kietojo kūno diskuose, atskiruose įrenginiuose produktai, tokie kaip NUC, tinklo ir ryšio mikroschemų rinkiniai bei integruotas lauko programuojamas vartų masyvas grandinės. „Intel“ taip pat pateikia penkių tipų programinės aparatinės įrangos ir trijų tipų programinę įrangą, kuri patenka į jos klaidų skėtį: tvarkykles, programas ir įrankius.
“„Intel“ skirs „Bounty“ už pirmąjį pranešimą apie pažeidžiamumą, kuriame pateikiama pakankamai išsamios informacijos, kad „Intel“ galėtų atkurti informaciją“, – teigia bendrovė. “„Intel“ skirs „Bounty“ nuo 500 USD iki 250 000 USD, atsižvelgiant į pažeidžiamumo pobūdį ir ataskaitos kokybę bei turinį. Pirmoji išorinė ataskaita, gauta apie viduje žinomą pažeidžiamumą, gaus didžiausią 1500 USD apdovanojimą.
Sausio mėnesį mokslininkai paskelbė apie 2011 m. aptiktą procesorių pažeidžiamumą, leidžiantį įsilaužėliams pasiekti sistemos atmintį ir paimti neskelbtinus duomenis. Atakos vektorius pasinaudoja metodu, kurį procesoriai naudoja proceso eilutės rezultatams numatyti. Naudodami šią nuspėjamąją techniką, procesoriai sistemos atmintyje saugo nesaugius duomenis.
Vienas iš būdų gauti prieigą prie šių duomenų vadinamas Meltdown, kuriam reikalinga speciali programinė įranga duomenims užfiksuoti. Naudodami Spectre, įsilaužėliai gali apgauti teisėtas programas ir programas, kad jos atskleistų neskelbtinus duomenis. Abu metodai yra teoriniai ir šiuo metu gamtoje aktyviai nenaudojami, tačiau „Intel“ atrodė kiek gėdingai dėl galimų problemų.
„Mes ir toliau tobulinsime programą, kad ji būtų kuo veiksmingesnė ir padėtume įvykdyti savo įsipareigojimą dėl saugumo“, – žada „Intel“.
Redaktorių rekomendacijos
- ES siūlys kompensacijas už klaidas, kai aptinkama atvirojo kodo programinės įrangos saugumo trūkumų
Atnaujinkite savo gyvenimo būdąSkaitmeninės tendencijos padeda skaitytojams stebėti sparčiai besivystantį technologijų pasaulį – pateikiamos visos naujausios naujienos, smagios produktų apžvalgos, įžvalgūs vedamieji leidiniai ir unikalūs žvilgsniai.
