Želite hitro zaslužiti 250.000 $? Kdo ne, kajne? Če imate znanje in izkušnje za iskanje ranljivosti v strojni in programski opremi, potem vam je ta visoka nagrada lahko na dosegu roke. Intel zdaj ponuja posodobljen program za nagrado za napake do 31. decembra 2018, pri čemer je ta lep majhen kos spremembe nastavljen kot največje izplačilo za iskanje »ranljivosti stranskih kanalov«. te ranljivosti so skrite napake v tipičnih operacijah programske in strojne opreme, ki bi lahko hekerje pripeljale do občutljivih podatkov, kot je nedavno Izkoriščanja Meltdown in Spectre.
»V podporo našim nedavnim varnostna zastava, smo izvedli več posodobitev našega programa,« pravi podjetje. »Verjamemo, da nam bodo te spremembe omogočile širšo vključitev varnostne raziskovalne skupnosti in zagotoviti boljše spodbude za usklajen odziv in razkritje, ki pomaga zaščititi naše stranke in njihove podatkov."
Priporočeni videoposnetki
Intel je prvotno predstavil svoj Bug Bounty program marca 2017 kot načrt samo s povabilom za izbrane varnostne raziskovalce. Zdaj je program odprt za vse v upanju, da bi zmanjšali še eno odkritje tipa Meltdown z uporabo širše skupine raziskovalcev. Podjetje zvišuje tudi zneske nagrad za vse druge nagrade, od katerih nekatere ponujajo do 100.000 $.
Intelov seznam zahtev za poročanje o ranljivostih stranskih kanalov je nekoliko kratek, vključno z zahtevana starost 18 let, šestmesečni presledek med sodelovanjem z Intelom in prijavo težave, med drugim zahteve. Vsa poročila morajo biti šifrirana z javnim ključem PGP Intel PSIRT, identificirati morajo izvirno nerazkrito težavo, vključevati rezultate izračuna CVSS v3 itd.
Intel želi, da varnostni raziskovalci lovijo hrošče v njegovih procesorjih, naborih čipov, polprevodniških pogonih, samostojnih integrirani izdelki, kot so NUC, omrežni in komunikacijski nabori čipov ter na terenu programabilna matrika vrat vezja. Intel prav tako navaja pet vrst vdelane programske opreme in tri vrste programske opreme, ki spadajo pod okrilje nagrade za napake: gonilniki, aplikacije in orodja.
“Intel bo podelil nagrado Bounty za prvo poročilo o ranljivosti z dovolj podrobnostmi, da bo Intelu omogočilo reprodukcijo,« navaja podjetje. “Intel bo podelil nagrado od 500 USD do 250.000 USD, odvisno od narave ranljivosti ter kakovosti in vsebine poročila. Prvo prejeto zunanje poročilo o interno znani ranljivosti bo prejelo največ 1500 USD nagrade.«
Januarja so raziskovalci javno objavili ranljivost, odkrito v procesorjih iz leta 2011, ki hekerjem omogoča dostop do sistemskega pomnilnika in pridobivanje občutljivih podatkov. Vektor napada izkorišča metodo, ki jo procesorji uporabljajo za napovedovanje izida procesnega niza. S to tehniko predvidevanja procesorji shranijo občutljive podatke v sistemski pomnilnik v nezaščitenem stanju.
Eden od načinov za dostop do teh podatkov se imenuje Meltdown, ki zahteva posebno programsko opremo za zajem podatkov. S Spectre bi lahko hekerji pretentali zakonite aplikacije in programe, da bi izkašljali občutljive podatke. Obe metodi sta teoretični in trenutno nista aktivno izkoriščeni v naravi, vendar je bilo videti, da je Intel nekoliko v zadregi zaradi morebitnih težav.
»Še naprej bomo razvijali program, kot bo potrebno, da bo čim bolj učinkovit in nam bo pomagal izpolniti našo zavezo, da je varnost na prvem mestu,« obljublja Intel.
Priporočila urednikov
- EU bo ponudila nagrade za napake pri odkrivanju varnostnih pomanjkljivosti v odprtokodni programski opremi
Nadgradite svoj življenjski slogDigitalni trendi bralcem pomagajo slediti hitremu svetu tehnologije z vsemi najnovejšimi novicami, zabavnimi ocenami izdelkov, pronicljivimi uvodniki in enkratnimi vpogledi v vsebine.
