Chcete rýchlo zarobiť 250 000 dolárov? Kto nie, však? Ak máte know-how na vyhľadávanie zraniteľných miest v hardvéri a softvéri, potom by ste mohli mať túto vysokú odmenu v dolároch na dosah. Intel teraz ponúka aktualizovaný bug bounty program do 31. decembra 2018, čím sa tento pekný malý kúsok zmeny stanovil ako maximálna výplata za hľadanie „zraniteľností bočného kanála“. Títo zraniteľnosti sú skryté chyby v typických softvérových a hardvérových operáciách, ktoré by potenciálne mohli viesť hackerov k citlivým údajom, ako napr. nedávne Meltdown a Spectre exploity.
„Na podporu nášho nedávneho záruka na prvom mieste, urobili sme niekoľko aktualizácií nášho programu,“ hovorí spoločnosť. „Veríme, že tieto zmeny nám umožnia širšie zaangažovať komunitu bezpečnostného výskumu poskytovať lepšie stimuly pre koordinovanú reakciu a zverejňovanie informácií, ktoré pomáhajú chrániť našich zákazníkov a ich údaje.”
Odporúčané videá
Intel pôvodne spustil svoju Bug Bounty program v marci 2017 ako plán len na pozvanie pre vybraných bezpečnostných výskumníkov. Teraz je program otvorený pre všetkých v nádeji, že minimalizuje ďalší objav typu Meltdown pomocou širšieho okruhu výskumníkov. Spoločnosť tiež zvyšuje odmeny za všetky ostatné odmeny, z ktorých niektoré ponúkajú až 100 000 dolárov.
Zoznam požiadaviek spoločnosti Intel na hlásenie zraniteľností bočných kanálov je trochu krátky, vrátane Požiadavka na vek 18 rokov, okrem iného šesťmesačná prestávka medzi prácou so spoločnosťou Intel a nahlásením problému požiadavky. Všetky správy musia byť šifrované verejným kľúčom PGP Intel PSIRT, musia identifikovať pôvodný neodhalený problém, musia obsahovať výsledky výpočtu CVSS v3 atď.
Intel chce, aby výskumníci v oblasti bezpečnosti našli chyby v jej procesoroch, čipových súpravách, jednotkách SSD, samostatných integrované produkty ako NUC, sieťové a komunikačné čipové sady a programovateľné hradlové pole obvodov. Spoločnosť Intel tiež uvádza päť typov firmvéru a tri typy softvéru, ktoré spadajú pod zastrešenie bug bounty: ovládače, aplikácie a nástroje.
“Intel udelí odmenu za prvú správu o zraniteľnosti s dostatočnými podrobnosťami, ktoré umožnia reprodukciu spoločnosťou Intel,“ uvádza spoločnosť. “Intel udelí Bounty od 500 do 250 000 USD v závislosti od povahy zraniteľnosti a kvality a obsahu správy. Prvá externá správa prijatá o interne známej zraniteľnosti dostane ocenenie v maximálnej výške 1 500 USD.“
V januári výskumníci zverejnili zraniteľnosť procesorov z roku 2011, ktorá umožňuje hackerom získať prístup k systémovej pamäti a získať citlivé údaje. Vektor útoku využíva metódu, ktorú procesory používajú na predpovedanie výsledku procesného reťazca. Pomocou tejto prediktívnej techniky procesory ukladajú citlivé dáta do systémovej pamäte v nezabezpečenom stave.
Jeden spôsob získania prístupu k týmto údajom sa nazýva Meltdown, ktorý si vyžaduje špeciálny softvér na zachytávanie údajov. Pomocou Spectre by hackeri mohli oklamať legitímne aplikácie a programy, aby sa vykašľali na citlivé údaje. Obe metódy sú teoretické av súčasnosti sa vo voľnej prírode aktívne nevyužívajú, no Intel sa zdal byť v súvislosti s možnými problémami trochu v rozpakoch.
„Budeme pokračovať vo vývoji programu podľa potreby, aby bol čo najefektívnejší a pomohol nám splniť náš záväzok týkajúci sa bezpečnosti,“ sľubuje Intel.
Odporúčania redaktorov
- EÚ ponúkne odmeny za chyby pri hľadaní bezpečnostných nedostatkov v softvéri s otvoreným zdrojovým kódom
Zlepšite svoj životný štýlDigitálne trendy pomáhajú čitateľom mať prehľad o rýchlo sa rozvíjajúcom svete technológií so všetkými najnovšími správami, zábavnými recenziami produktov, užitočnými úvodníkmi a jedinečnými ukážkami.
