Chcesz szybko zarobić 250 000 dolarów? Kto tego nie robi, prawda? Jeśli masz wiedzę, jak znaleźć luki w sprzęcie i oprogramowaniu, ta wysoka nagroda może być w zasięgu ręki. Firma Intel oferuje teraz zaktualizowany program nagród za błędy do 31 grudnia 2018 r., ustalając tę miłą część zmiany jako maksymalną nagrodę za wykrycie „luk w zabezpieczeniach kanału bocznego”. Te luki w zabezpieczeniach to ukryte wady typowych operacji oprogramowania i sprzętu, które mogą potencjalnie naprowadzić hakerów na poufne dane, takie jak ostatni Exploity Meltdown i Spectre.
„W ramach wsparcia naszego niedawnego zobowiązanie na pierwszym miejscu: bezpieczeństwowprowadziliśmy kilka aktualizacji naszego programu” – twierdzi firma. „Wierzymy, że te zmiany umożliwią nam szersze zaangażowanie społeczności badaczy bezpieczeństwa i zapewniać lepsze zachęty do skoordynowanego reagowania i ujawniania informacji, co pomaga chronić naszych klientów i ich klientów dane."
Polecane filmy
Intel pierwotnie wypuścił swój
Program nagród za błędy w marcu 2017 r. jako plan dostępny wyłącznie na zaproszenie wybranych badaczy bezpieczeństwa. Obecnie program jest otwarty dla wszystkich w nadziei, że dzięki zaangażowaniu szerszej grupy badaczy uda się zminimalizować kolejne odkrycia typu Meltdown. Firma podnosi także kwoty nagród za wszystkie inne nagrody, z których niektóre sięgają nawet 100 000 dolarów.Lista wymagań firmy Intel dotyczących zgłaszania luk bocznych jest dość krótka i obejmuje Wymagany wiek: 18 lat, sześciomiesięczna przerwa między współpracą z firmą Intel a zgłoszeniem problemu wymagania. Wszystkie raporty muszą być szyfrowane publicznym kluczem PGP Intel PSIRT, muszą identyfikować oryginalny, nieujawniony problem, zawierać wyniki obliczeń CVSS v3 itd.
Intel chce, aby badacze bezpieczeństwa wyłapywali błędy w jego procesorach, chipsetach i dyskach półprzewodnikowych produkty takie jak NUC, chipsety sieciowe i komunikacyjne oraz zintegrowane macierze bramek programowalnych przez użytkownika obwody. Firma Intel wymienia także pięć typów oprogramowania sprzętowego i trzy typy oprogramowania objęte programem nagród za błędy: sterowniki, aplikacje i narzędzia.
“Firma Intel przyzna nagrodę za pierwsze zgłoszenie dotyczące luki zawierające wystarczającą ilość szczegółów, aby umożliwić firmie Intel jej odtworzenie” – twierdzi firma. “Firma Intel przyzna nagrodę w wysokości od 500 do 250 000 dolarów w zależności od charakteru luki oraz jakości i treści zgłoszenia. Pierwszy otrzymany raport zewnętrzny dotyczący wewnętrznie znanej luki otrzyma nagrodę o maksymalnej wartości 1500 USD”.
W styczniu badacze upublicznili informację o luce w procesorach od 2011 roku, która umożliwia hakerom dostęp do pamięci systemowej i przechwytywanie wrażliwych danych. Wektor ataku wykorzystuje metodę używaną przez procesory do przewidywania wyniku łańcucha procesowego. Korzystając z tej techniki predykcyjnej, procesory przechowują wrażliwe dane w pamięci systemowej w stanie niezabezpieczonym.
Jedną z metod uzyskania dostępu do tych danych jest Meltdown, która wymaga specjalnego oprogramowania do przechwytywania danych. Dzięki Spectre hakerzy mogą oszukać legalne aplikacje i programy, aby wykrztusić poufne dane. Obie metody są teoretyczne i obecnie nie są aktywnie wykorzystywane na wolności, jednak Intel wydawał się nieco zawstydzony potencjalnymi problemami.
„Będziemy nadal rozwijać program w miarę potrzeb, aby uczynić go tak skutecznym, jak to tylko możliwe i pomóc nam w spełnieniu naszego zobowiązania dotyczącego bezpieczeństwa na pierwszym miejscu” – obiecuje Intel.
Zalecenia redaktorów
- UE będzie oferować nagrody za wykrywanie luk w zabezpieczeniach oprogramowania open source
Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.
