Хотите быстро заработать 250 000 долларов? Кто нет, верно? Если у вас есть ноу-хау по поиску уязвимостей в аппаратном и программном обеспечении, то эта высокая награда может быть в пределах вашей досягаемости. Intel теперь предлагает обновленную программу вознаграждения за обнаружение ошибок до 31 декабря 2018 года, установив эту небольшую сумму сдачи в качестве максимальной выплаты за поиск «уязвимостей побочного канала». Эти Уязвимости — это скрытые недостатки в типичных операциях программного и аппаратного обеспечения, которые потенциально могут привести хакеров к конфиденциальным данным, таким как недавний Эксплойты Meltdown и Spectre.
«В поддержку нашего недавнего залог безопасности прежде всего, мы внесли несколько обновлений в нашу программу», — сообщает компания. «Мы считаем, что эти изменения позволят нам более широко привлечь сообщество исследователей безопасности и обеспечить лучшие стимулы для скоординированного реагирования и раскрытия информации, которые помогут защитить наших клиентов и их данные."
Рекомендуемые видео
Intel первоначально выпустила свой Программа вознаграждения за ошибки в марте 2017 года в качестве плана, доступного только по приглашению для избранных исследователей безопасности. Теперь программа открыта для всех в надежде свести к минимуму еще одно открытие типа Meltdown за счет привлечения более широкого круга исследователей. Компания также увеличивает суммы вознаграждений за все остальные вознаграждения, некоторые из которых достигают 100 000 долларов США.
Список требований Intel по сообщению об уязвимостях побочных каналов довольно короткий, включая Требование к 18-летнему возрасту, шестимесячный перерыв между работой с Intel и сообщением о проблеме, среди прочего требования. Все отчеты должны быть зашифрованы с помощью открытого ключа PGP Intel PSIRT, они должны указывать на исходную нераскрытую проблему, включать результаты расчетов CVSS v3 и т. д.
Intel хочет, чтобы исследователи безопасности выискивали ошибки в ее процессорах, чипсетах, твердотельных накопителях, автономных такие продукты, как NUC, сетевые и коммуникационные чипсеты, а также интегрированные программируемые вентильные матрицы. схемы. Intel также перечисляет пять типов встроенного ПО и три типа программного обеспечения, подпадающих под действие программы «Bug Bounty»: драйверы, приложения и инструменты.
“Intel наградит награду за первый отчет об уязвимости, содержащий достаточно подробностей, чтобы Intel могла воспроизвести его», — заявляет компания. “Intel наградит награду в размере от 500 до 250 000 долларов США в зависимости от характера уязвимости, качества и содержания отчета. Первый полученный внешний отчет о внутренней уязвимости получит премию в размере максимум 1500 долларов США».
В январе исследователи обнародовали информацию об уязвимости, обнаруженной в процессорах, выпущенной в 2011 году, которая позволяет хакерам получить доступ к системной памяти и получить конфиденциальные данные. Вектор атаки использует метод, используемый процессорами для прогнозирования результата строки процесса. Используя этот метод прогнозирования, процессоры сохраняют конфиденциальные данные в системной памяти в незащищенном состоянии.
Один из методов получения доступа к этим данным называется Meltdown, для которого требуется специальное программное обеспечение для сбора данных. С помощью Spectre хакеры могут обманом заставить законные приложения и программы выдать конфиденциальные данные. Оба метода являются теоретическими и в настоящее время активно не используются, однако Intel, похоже, несколько смущена потенциальными проблемами.
«Мы продолжим развивать программу по мере необходимости, чтобы сделать ее максимально эффективной и помочь нам выполнить наше обязательство по обеспечению безопасности на первом месте», — обещает Intel.
Рекомендации редакции
- ЕС предложит вознаграждение за обнаружение недостатков безопасности в программном обеспечении с открытым исходным кодом
Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, содержательным редакционным статьям и уникальным кратким обзорам.
