Vrei să câștigi rapid 250.000 USD? Cine nu, nu? Dacă aveți cunoștințele necesare pentru a căuta vulnerabilități în hardware și software, atunci acea recompensă mare ar putea fi la îndemână. Intel oferă acum un program actualizat de recompensă pentru erori până la 31 decembrie 2018, stabilind acea mică parte frumoasă de schimbare ca plată maximă pentru vânarea „vulnerabilităților canalului lateral”. Aceste vulnerabilitățile sunt defecte ascunse în operațiunile tipice de software și hardware care ar putea conduce hackeri la date sensibile, cum ar fi Recent Exploatările Meltdown și Spectre.
„În sprijinul recentului nostru securitatea pe primul loc, am făcut mai multe actualizări ale programului nostru”, spune compania. „Credem că aceste schimbări ne vor permite să implicăm mai larg comunitatea de cercetare în domeniul securității și oferiți stimulente mai bune pentru răspunsul coordonat și dezvăluirea care ajută la protejarea clienților noștri și a acestora date."
Videoclipuri recomandate
Intel și-a lansat inițial
Programul Bug Bounty în martie 2017, ca plan numai pe invitație pentru cercetători selecționați în domeniul securității. Acum programul este deschis tuturor în speranța de a minimiza o altă descoperire de tip Meltdown prin utilizarea unui grup mai larg de cercetători. Compania crește, de asemenea, sumele recompenselor pentru toate celelalte recompense, dintre care unele oferă până la 100.000 USD.Lista Intel de cerințe pentru raportarea vulnerabilităților pe canale laterale este oarecum scurtă, inclusiv Cerința de vârstă de 18 ani, un interval de șase luni între lucrul cu Intel și raportarea unei probleme, printre altele cerințe. Toate rapoartele trebuie să fie criptate cu cheia PGP publică Intel PSIRT, trebuie să identifice o problemă originală nedezvăluită, să includă rezultatele calculelor CVSS v3 și așa mai departe.
Intel dorește ca cercetătorii de securitate să vâneze erori în procesoarele sale, chipset-urile, unitățile cu stare solidă, de sine stătătoare produse precum NUC-uri, chipset-uri de rețea și comunicații și matrice de porți programabile pe teren integrate circuite. Intel enumeră, de asemenea, cinci tipuri de firmware și trei tipuri de software care se încadrează sub umbrela sa de recompensă pentru erori: drivere, aplicații și instrumente.
“Intel va acorda o recompensă pentru primul raport al unei vulnerabilități cu suficiente detalii pentru a permite reproducerea de către Intel”, afirmă compania. “Intel va acorda o recompensă de la 500 USD la 250.000 USD, în funcție de natura vulnerabilității și calitatea și conținutul raportului. Primul raport extern primit cu privire la o vulnerabilitate cunoscută intern va primi un premiu de maximum 1.500 USD.”
În ianuarie, cercetătorii au făcut publică o vulnerabilitate găsită în procesoarele care datează din 2011, care permite hackerilor să acceseze memoria sistemului și să preia date sensibile. Vectorul de atac profită de o metodă folosită de procesoare pentru a prezice rezultatul unui șir de proces. Folosind această tehnică predictivă, procesoarele stochează date sensibile în memoria sistemului într-o stare nesecurizată.
O metodă de a obține acces la aceste date se numește Meltdown, care necesită un software special pentru a captura datele. Cu Spectre, hackerii ar putea păcăli aplicațiile și programele legitime pentru a elimina datele sensibile. Ambele metode sunt teoretice și în prezent nu sunt exploatate activ în sălbăticie, dar Intel părea oarecum stânjenit de potențialele probleme.
„Vom continua să evoluăm programul după cum este necesar pentru a-l face cât mai eficient posibil și pentru a ne ajuta să ne îndeplinim angajamentul de securitate pe primul loc”, promite Intel.
Recomandările editorilor
- UE va oferi recompense pentru erori pentru găsirea defectelor de securitate în software-ul open-source
Îmbunătățește-ți stilul de viațăDigital Trends îi ajută pe cititori să țină cont de lumea rapidă a tehnologiei cu toate cele mai recente știri, recenzii distractive despre produse, editoriale perspicace și anticipări unice.
