Желите брзо да зарадите 250.000 долара? Ко не, зар не? Ако имате знање како да уловите рањивости у хардверу и софтверу, онда би вам та висока награда могла бити надохват руке. Интел сада нуди ажурирани програм за откривање грешака до 31. децембра 2018., постављајући тај лепи мали део промене као максималну исплату за проналажење „рањивости на бочним каналима“. Ове рањивости су скривене мане у типичним софтверским и хардверским операцијама које би потенцијално могле да доведу хакере до осетљивих података, као што су скорашњи Мелтдовн и Спецтре експлоати.
„У знак подршке нашим недавним сигурност-прва залога, направили смо неколико ажурирања нашег програма“, кажу из компаније. „Верујемо да ће нам ове промене омогућити шире ангажовање истраживачке заједнице и обезбедити боље подстицаје за координисан одговор и откривање података који помажу у заштити наших и њихових купаца подаци.”
Препоручени видео снимци
Интел је првобитно лансирао свој Буг Боунти Програм у марту 2017. као план само по позиву за одабране истраживаче безбедности. Сада је програм отворен за све у нади да ће минимизирати још једно откриће типа Мелтдовн коришћењем шире групе истраживача. Компанија такође повећава износе награда за све друге награде, од којих неке нуде до 100.000 долара.
Интелова листа захтева за пријављивање рањивости бочних канала је донекле кратка, укључујући Старост од 18 година, размак од шест месеци између рада са Интелом и пријављивања проблема, између осталог захтевима. Сви извештаји морају бити шифровани са Интел ПСИРТ јавним ПГП кључем, морају идентификовати оригинални неоткривени проблем, укључити резултате прорачуна ЦВСС в3 и тако даље.
Интел жели да истраживачи безбедности пронађу грешке у његовим процесорима, чипсетима, ССД уређајима, самосталним производи попут НУЦ-а, мрежних и комуникационих чипсета и интегрисаних низова капија које се могу програмирати на терену кола. Интел такође наводи пет типова фирмвера и три типа софтвера који спадају у његов окриље за праћење грешака: драјвери, апликације и алати.
“Интел ће доделити награду за први извештај о рањивости са довољно детаља да омогући репродукцију од стране Интела“, наводи компанија. “Интел ће доделити награду од 500 до 250.000 долара у зависности од природе рањивости и квалитета и садржаја извештаја. Први спољни извештај примљен о интерно познатој рањивости ће добити награду од максимално 1.500 УСД."
У јануару су истраживачи изашли у јавност са рањивошћу пронађеном у процесорима из 2011. године која омогућава хакерима да приступе системској меморији и зграбе осетљиве податке. Вектор напада користи предности методе које процесори користе за предвиђање исхода низа процеса. Користећи ову технику предвиђања, процесори чувају осетљиве податке у системској меморији у незаштићеном стању.
Један метод за добијање приступа овим подацима се зове Мелтдовн, који захтева посебан софтвер за снимање података. Са Спецтре-ом, хакери би могли да преваре легитимне апликације и програме да искашљају осетљиве податке. Обе методе су теоретске и тренутно се не користе активно у дивљини, али се Интелу чинило да је помало неугодно због потенцијалних проблема.
„Наставићемо да развијамо програм по потреби како бисмо га учинили што ефикаснијим и како бисмо нам помогли да испунимо наше обећање о безбедности“, обећава Интел.
Препоруке уредника
- ЕУ ће понудити награде за грешке за проналажење безбедносних недостатака у софтверу отвореног кода
Надоградите свој животни стилДигитални трендови помажу читаоцима да прате убрзани свет технологије са свим најновијим вестима, забавним рецензијама производа, проницљивим уводницима и јединственим кратким прегледима.
