Quer ganhar $ 250.000 rapidamente? Quem não gosta, certo? Se você tiver o conhecimento necessário para detectar vulnerabilidades em hardware e software, essa recompensa de alto valor poderá estar ao seu alcance. A Intel agora está oferecendo um programa atualizado de recompensas por bugs até 31 de dezembro de 2018, definindo esse pequeno troco como o pagamento máximo para caçar “vulnerabilidades de canal lateral”. Esses vulnerabilidades são falhas ocultas em operações típicas de software e hardware que podem levar hackers a dados confidenciais, como o recente Explorações de Meltdown e Spectre.
“Em apoio ao nosso recente promessa de segurança em primeiro lugar, fizemos várias atualizações em nosso programa”, afirma a empresa. “Acreditamos que essas mudanças nos permitirão envolver mais amplamente a comunidade de pesquisa em segurança e fornecer melhores incentivos para resposta e divulgação coordenadas que ajudem a proteger nossos clientes e seus dados."
Vídeos recomendados
A Intel lançou originalmente seu
A lista de requisitos da Intel para relatar vulnerabilidades de canal lateral é um tanto curta, incluindo o Requisito de idade de 18 anos, intervalo de seis meses entre trabalhar com a Intel e relatar um problema, entre outros requisitos. Todos os relatórios devem ser criptografados com a chave PGP pública Intel PSIRT, devem identificar um problema original não divulgado, incluir resultados de cálculo CVSS v3 e assim por diante.
A Intel quer que os pesquisadores de segurança procurem bugs em seus processadores, chipsets, unidades de estado sólido e dispositivos autônomos. produtos como NUCs, chipsets de rede e comunicação e matriz de portas programáveis em campo integradas circuitos. A Intel também lista cinco tipos de firmware e três tipos de software que se enquadram no seu guarda-chuva de recompensas de bugs: drivers, aplicativos e ferramentas.
“A Intel concederá uma recompensa pelo primeiro relatório de uma vulnerabilidade com detalhes suficientes para permitir a reprodução pela Intel”, afirma a empresa. “A Intel concederá uma recompensa de US$ 500 a US$ 250.000, dependendo da natureza da vulnerabilidade e da qualidade e conteúdo do relatório. O primeiro relatório externo recebido sobre uma vulnerabilidade conhecida internamente receberá um prêmio máximo de US$ 1.500.”
Em janeiro, pesquisadores divulgaram publicamente uma vulnerabilidade encontrada em processadores que datam de 2011 e que permite que hackers acessem a memória do sistema e obtenham dados confidenciais. O vetor de ataque aproveita um método usado pelos processadores para prever o resultado de uma sequência de processos. Usando esta técnica preditiva, os processadores armazenam dados confidenciais na memória do sistema em um estado inseguro.
Um método de obter acesso a esses dados é chamado Meltdown, que requer software especial para capturar os dados. Com o Spectre, os hackers poderiam enganar aplicativos e programas legítimos para que liberassem dados confidenciais. Ambos os métodos são teóricos e atualmente não são explorados ativamente, mas a Intel parecia um tanto envergonhada com os possíveis problemas.
“Continuaremos a desenvolver o programa conforme necessário para torná-lo o mais eficaz possível e para nos ajudar a cumprir o nosso compromisso de segurança em primeiro lugar”, promete a Intel.
Recomendações dos Editores
- UE oferecerá recompensas por bugs para quem encontrar falhas de segurança em software de código aberto
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.
