Vai vēlaties ātri nopelnīt 250 000 USD? Kuram gan nav, vai ne? Ja jums ir zināšanas par aparatūras un programmatūras ievainojamību meklēšanu, šī lielā atlīdzība varētu būt jūsu rokās. Intel tagad piedāvā atjauninātu kļūdu novēršanas programmu līdz 2018. gada 31. decembrim, nosakot šo jauko izmaiņu daļu kā maksimālo atlīdzību par “sānu kanālu ievainojamību” meklēšanu. Šīs ievainojamības ir slēptas kļūdas tipiskās programmatūras un aparatūras darbībās, kas var novest hakerus pie sensitīviem datiem, piemēram, nesen Meltdown un Spectre varoņdarbi.
“Atbalstot mūsu neseno drošības pirmā ķīla, mēs esam veikuši vairākus mūsu programmas atjauninājumus, ”saka uzņēmums. "Mēs uzskatām, ka šīs izmaiņas ļaus mums plašāk iesaistīt drošības pētniecības kopienu un nodrošināt labākus stimulus saskaņotai reakcijai un informācijas izpaušanai, kas palīdz aizsargāt mūsu klientus un viņus dati.”
Ieteiktie videoklipi
Intel sākotnēji sāka savu Programma Bug Bounty 2017. gada martā kā plāns tikai ar ielūgumiem atsevišķiem drošības pētniekiem. Tagad programma ir atvērta visiem, cerot samazināt vēl vienu Meltdown tipa atklājumu, izmantojot plašāku pētnieku loku. Uzņēmums arī palielina atlīdzības summas par visām pārējām balvām, no kurām dažas piedāvā līdz pat 100 000 USD.
Intel prasību saraksts ziņošanai par sānu kanālu ievainojamībām ir nedaudz īss, ieskaitot 18 gadu vecuma prasība, sešu mēnešu starpība starp darbu ar Intel un ziņošanu par problēmu, cita starpā prasībām. Visiem pārskatiem jābūt šifrētiem ar Intel PSIRT publisko PGP atslēgu, tajos ir jāidentificē sākotnējā neizpaustā problēma, jāiekļauj CVSS v3 aprēķinu rezultāti un tā tālāk.
Intel vēlas, lai drošības pētnieki meklētu kļūdas savos procesoros, mikroshēmojumos, cietvielu diskdziņos. tādi produkti kā NUC, tīkla un sakaru mikroshēmojumi un integrēts uz lauka programmējams vārtu masīvs ķēdēm. Intel arī uzskaita piecus programmaparatūras veidus un trīs programmatūras veidus, kas ietilpst tās kļūdu novēršanas jomā: draiveri, lietojumprogrammas un rīki.
“Intel piešķirs Bounty par pirmo ziņojumu par ievainojamību ar pietiekami detalizētu informāciju, lai Intel varētu to reproducēt," norāda uzņēmums. “Intel piešķirs Bounty no USD 500 līdz USD 250 000 atkarībā no ievainojamības veida un ziņojuma kvalitātes un satura. Pirmais ārējais ziņojums, kas saņemts par iekšēji zināmu ievainojamību, saņems ne vairāk kā 1500 USD balvu.
Janvārī pētnieki publiskoja ar 2011. gada procesoru ievainojamību, kas ļauj hakeriem piekļūt sistēmas atmiņai un iegūt sensitīvus datus. Uzbrukuma vektors izmanto metodi, ko procesori izmanto, lai prognozētu procesa virknes iznākumu. Izmantojot šo prognozēšanas paņēmienu, procesori sistēmas atmiņā saglabā sensitīvus datus nenodrošinātā stāvoklī.
Viena no metodēm, kā iegūt piekļuvi šiem datiem, tiek saukta par Meltdown, kas prasa īpašu programmatūru, lai iegūtu datus. Izmantojot Spectre, hakeri var iemānīt likumīgas lietotnes un programmas, lai tās izkleptu sensitīvos datus. Abas metodes ir teorētiskas un pašlaik netiek aktīvi izmantotas savvaļā, tomēr Intel šķita nedaudz apmulsis par iespējamām problēmām.
"Mēs turpināsim attīstīt programmu pēc vajadzības, lai padarītu to pēc iespējas efektīvāku un palīdzētu mums izpildīt mūsu drošības solījumu," sola Intel.
Redaktoru ieteikumi
- ES piedāvās kļūdu atlīdzību par atklātā pirmkoda programmatūras drošības trūkumu atrašanu
Uzlabojiet savu dzīvesveiduDigitālās tendences palīdz lasītājiem sekot līdzi steidzīgajai tehnoloģiju pasaulei, izmantojot visas jaunākās ziņas, jautrus produktu apskatus, ieskatu saturošus rakstus un unikālus ieskatus.
