Vil du tjene 250 000 dollar raskt? Hvem gjør ikke det, ikke sant? Hvis du har kunnskapen til å jakte på sårbarheter i maskinvare og programvare, kan den høye dollarbelønningen være innenfor rekkevidde. Intel tilbyr nå et oppdatert bug bounty-program frem til 31. desember 2018, og angir den lille delen av endringen som den maksimale utbetalingen for å jakte på "sårbarheter i sidekanaler". Disse sårbarheter er skjulte feil i typiske programvare- og maskinvareoperasjoner som potensielt kan føre hackere til sensitive data, som nylig Meltdown og Spectre-utnyttelser.
"Til støtte for vår siste sikkerhet først løfte, vi har gjort flere oppdateringer av programmet vårt, sier selskapet. "Vi tror at disse endringene vil gjøre oss i stand til å engasjere sikkerhetsforskningsmiljøet og gi bedre insentiver for koordinert respons og avsløring som bidrar til å beskytte våre kunder og deres data."
Anbefalte videoer
Intel lanserte opprinnelig sin Bug Bounty Program i mars 2017 som en invitasjonsplan for utvalgte sikkerhetsforskere. Nå er programmet åpent for alle i håp om å minimere enda et funn av Meltdown-typen ved å bruke et bredere utvalg av forskere. Selskapet hever også belønningsbeløpene for alle andre dusører, hvorav noen tilbyr opptil $100 000.
Intels liste over krav for rapportering av sidekanalsårbarheter er noe kort, inkludert 18-års alderskrav, et seks måneders gap mellom å jobbe med Intel og rapportere et problem, blant annet krav. Alle rapporter må være kryptert med Intel PSIRT offentlige PGP-nøkkel, de må identifisere et originalt ikke avslørt problem, inkludere CVSS v3-beregningsresultater, og så videre.
Intel vil at sikkerhetsforskere skal jakte på feil i sine prosessorer, brikkesett, solid state-stasjoner, frittstående produkter som NUC-er, nettverks- og kommunikasjonsbrikkesett, og feltprogrammerbar gate-array integrert kretser. Intel lister også opp fem typer fastvare og tre typer programvare som faller inn under dens bug bounty-paraply: drivere, applikasjoner og verktøy.
“Intel vil tildele en dusør for den første rapporten om en sårbarhet med tilstrekkelige detaljer til å muliggjøre reproduksjon av Intel», opplyser selskapet. “Intel vil tildele en dusør fra $500 til $250 000 USD avhengig av typen sårbarhet og kvaliteten og innholdet i rapporten. Den første eksterne rapporten mottatt om en internt kjent sårbarhet vil motta maksimalt $1500 USD Award.»
I januar offentliggjorde forskere en sårbarhet funnet i prosessorer som dateres tilbake til 2011, som lar hackere få tilgang til systemminnet og hente sensitive data. Angrepsvektoren utnytter en metode prosessorer bruker for å forutsi utfallet av en prosessstreng. Ved å bruke denne prediktive teknikken lagrer prosessorer sensitive data i systemminnet i en usikret tilstand.
En metode for å få tilgang til disse dataene kalles Meltdown, som krever spesiell programvare for å fange opp dataene. Med Spectre kan hackere lure legitime apper og programmer til å hoste opp de sensitive dataene. Begge metodene er teoretiske, og foreløpig ikke aktivt utnyttet i naturen, men Intel virket noe flau over de potensielle problemene.
"Vi vil fortsette å utvikle programmet etter behov for å gjøre det så effektivt som mulig og for å hjelpe oss å oppfylle vårt løfte om sikkerhet først," lover Intel.
Redaktørenes anbefalinger
- EU vil tilby feilpremier for å finne sikkerhetsfeil i åpen kildekode-programvare
Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.
