Vill du tjäna 250 000 USD snabbt? Vem gör inte det, eller hur? Om du har kunskapen att leta efter sårbarheter i hårdvara och mjukvara, kan den höga dollarbelöningen vara inom räckhåll. Intel erbjuder nu ett uppdaterat bug-bounty-program fram till den 31 december 2018, ange den där trevliga lilla biten av förändring som den maximala utbetalningen för att jaga "sårbarheter i sidkanal". Dessa sårbarheter är dolda brister i typiska program- och hårdvaruoperationer som potentiellt kan leda hackare till känslig data, som nyligen Meltdown och Spectre exploits.
"Till stöd för vår senaste säkerheten först, vi har gjort flera uppdateringar av vårt program, säger företaget. "Vi tror att dessa förändringar kommer att göra det möjligt för oss att bredare engagera säkerhetsforskningssamhället och ge bättre incitament för samordnade svar och avslöjande som hjälper till att skydda våra kunder och deras data."
Rekommenderade videor
Intel lanserade ursprungligen sin Bug Bounty Program i mars 2017 som en inbjudan plan för utvalda säkerhetsforskare. Nu är programmet öppet för alla i hopp om att minimera ännu en upptäckt av Meltdown-typ genom att använda en bredare pool av forskare. Företaget höjer också belöningsbeloppen för alla andra belöningar, av vilka några erbjuder upp till $100 000.
Intels lista över krav för rapportering av sidokanalssårbarheter är något kort, inklusive 18-års ålderskrav, sex månader mellan att arbeta med Intel och rapportera ett problem, bland annat krav. Alla rapporter måste krypteras med den offentliga Intel PSIRT PGP-nyckeln, de måste identifiera ett ursprungligt oupplyst problem, inkludera CVSS v3-beräkningsresultat och så vidare.
Intel vill att säkerhetsforskare ska leta efter buggar i sina processorer, chipset, solid state-enheter, fristående produkter som NUC: er, nätverks- och kommunikationskretsuppsättningar och fältprogrammerbar gate array integrerad kretsar. Intel listar också fem typer av firmware och tre typer av programvara som faller under dess bug-bounty-paraply: drivrutiner, applikationer och verktyg.
“Intel kommer att dela ut en Bounty för den första rapporten om en sårbarhet med tillräckliga detaljer för att möjliggöra reproduktion av Intel”, uppger företaget. “Intel kommer att dela ut en Bounty från $500 till $250 000 USD beroende på typen av sårbarhet och kvaliteten och innehållet i rapporten. Den första externa rapporten som tas emot om en internt känd sårbarhet kommer att få maximalt $1 500 USD Award."
I januari offentliggjorde forskare en sårbarhet som hittats i processorer som går tillbaka till 2011 som gör att hackare kan komma åt systemminnet och fånga känslig data. Attackvektorn drar fördel av en metod som processorer använder för att förutsäga resultatet av en processsträng. Med denna prediktiva teknik lagrar processorer känsliga data i systemminnet i ett osäkert tillstånd.
En metod för att få tillgång till denna data kallas Meltdown, som kräver speciell programvara för att fånga in data. Med Spectre kan hackare lura legitima appar och program att hosta upp känsliga uppgifter. Båda metoderna är teoretiska och för närvarande inte aktivt utnyttjade i det vilda, ändå verkade Intel något generat över de potentiella problemen.
"Vi kommer att fortsätta att utveckla programmet efter behov för att göra det så effektivt som möjligt och för att hjälpa oss att uppfylla vårt säkerhetslöfte", lovar Intel.
Redaktörens rekommendationer
- EU kommer att erbjuda buggbonusar för att hitta säkerhetsbrister i programvara med öppen källkod
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.