ต้องการสร้างรายได้ 250,000 เหรียญอย่างรวดเร็วหรือไม่? ใครทำไม่ได้ใช่ไหม? หากคุณมีความรู้ความชำนาญในการค้นหาช่องโหว่ในฮาร์ดแวร์และซอฟต์แวร์ รางวัลที่มีมูลค่าสูงนั้นก็อาจอยู่ในมือคุณ ขณะนี้ Intel กำลังเสนอโปรแกรมรางวัลจุดบกพร่องที่อัปเดตแล้ว จนถึงวันที่ 31 ธันวาคม 2018 โดยกำหนดให้การเปลี่ยนแปลงเล็กๆ น้อยๆ เป็นการจ่ายเงินสูงสุดสำหรับการตามล่า "ช่องโหว่ด้านข้าง" เหล่านี้ ช่องโหว่คือข้อบกพร่องที่ซ่อนอยู่ในการทำงานของซอฟต์แวร์และฮาร์ดแวร์ทั่วไปที่อาจทำให้แฮกเกอร์เข้าถึงข้อมูลที่ละเอียดอ่อน เช่น ล่าสุด การล่มสลายและการหาประโยชน์จาก Spectre.
“เพื่อสนับสนุนล่าสุดของเรา คำมั่นสัญญาเรื่องความปลอดภัยเป็นอันดับแรกเราได้ทำการอัปเดตหลายอย่างกับโปรแกรมของเรา” บริษัทกล่าว “เราเชื่อว่าการเปลี่ยนแปลงเหล่านี้จะช่วยให้เรามีส่วนร่วมกับชุมชนการวิจัยด้านความปลอดภัยในวงกว้างมากขึ้นและ ให้สิ่งจูงใจที่ดีกว่าสำหรับการประสานงานการตอบสนองและการเปิดเผยข้อมูลซึ่งช่วยปกป้องลูกค้าของเราและลูกค้าของพวกเขา ข้อมูล."
วิดีโอแนะนำ
Intel เดิมเปิดตัว โปรแกรม Bug Bounty ในเดือนมีนาคม 2017 เป็นแผนที่ได้รับเชิญเท่านั้นสำหรับนักวิจัยด้านความปลอดภัยที่ได้รับการคัดเลือก ขณะนี้โครงการนี้เปิดกว้างสำหรับทุกคนโดยหวังว่าจะลดการค้นพบประเภท Meltdown อื่นๆ ให้เหลือน้อยที่สุดโดยใช้กลุ่มนักวิจัยที่กว้างขึ้น บริษัทยังกำลังเพิ่มจำนวนรางวัลสำหรับเงินรางวัลอื่นๆ ทั้งหมด ซึ่งบางส่วนเสนอสูงถึง 100,000 ดอลลาร์
รายการข้อกำหนดของ Intel สำหรับการรายงานช่องโหว่ด้านข้างนั้นค่อนข้างสั้น ซึ่งรวมถึง ข้อกำหนดด้านอายุ 18 ปี ช่องว่างหกเดือนระหว่างการทำงานร่วมกับ Intel และการรายงานปัญหา และอื่นๆ อีกมากมาย ความต้องการ. รายงานทั้งหมดจะต้องได้รับการเข้ารหัสด้วยคีย์ PGP สาธารณะ Intel PSIRT โดยจะต้องระบุปัญหาดั้งเดิมที่ไม่เปิดเผย รวมถึงผลการคำนวณ CVSS v3 และอื่นๆ
Intel ต้องการให้นักวิจัยด้านความปลอดภัยค้นหาจุดบกพร่องในโปรเซสเซอร์ ชิปเซ็ต โซลิดสเตตไดรฟ์แบบสแตนด์อโลน ผลิตภัณฑ์ต่างๆ เช่น NUC, ชิปเซ็ตเครือข่ายและการสื่อสาร และ Gate Array ที่ตั้งโปรแกรมได้ภาคสนาม วงจร นอกจากนี้ Intel ยังแสดงรายการเฟิร์มแวร์ห้าประเภท และซอฟต์แวร์สามประเภทที่อยู่ภายใต้ค่าหัวข้อบกพร่อง ได้แก่ ไดรเวอร์ แอปพลิเคชัน และเครื่องมือ
“Intel จะมอบรางวัลสำหรับการรายงานช่องโหว่ครั้งแรกโดยมีรายละเอียดเพียงพอที่จะเปิดใช้งานการทำซ้ำโดย Intel” บริษัทกล่าว “Intel จะมอบรางวัลเป็นเงิน $500 ถึง $250,000 USD ขึ้นอยู่กับลักษณะของช่องโหว่ คุณภาพ และเนื้อหาของรายงาน รายงานภายนอกฉบับแรกที่ได้รับเกี่ยวกับช่องโหว่ที่ทราบภายในจะได้รับรางวัลสูงสุด $1,500 USD”
ในเดือนมกราคม นักวิจัยเผยแพร่สู่สาธารณะพร้อมกับช่องโหว่ที่พบในโปรเซสเซอร์ย้อนหลังไปถึงปี 2554 ซึ่งทำให้แฮกเกอร์สามารถเข้าถึงหน่วยความจำระบบและดึงข้อมูลที่ละเอียดอ่อนได้ เวกเตอร์การโจมตีใช้ประโยชน์จากวิธีการที่ตัวประมวลผลใช้ในการทำนายผลลัพธ์ของสตริงกระบวนการ เมื่อใช้เทคนิคการคาดการณ์นี้ โปรเซสเซอร์จะจัดเก็บข้อมูลที่ละเอียดอ่อนไว้ในหน่วยความจำระบบในสถานะที่ไม่ปลอดภัย
วิธีหนึ่งในการเข้าถึงข้อมูลนี้เรียกว่า Meltdown ซึ่งต้องใช้ซอฟต์แวร์พิเศษเพื่อเก็บข้อมูล ด้วย Spectre แฮกเกอร์สามารถหลอกแอพและโปรแกรมที่ถูกต้องตามกฎหมายให้ปล่อยข้อมูลที่ละเอียดอ่อนได้ ทั้งสองวิธีนั้นเป็นไปในทางทฤษฎี และปัจจุบันไม่ได้ถูกนำไปใช้อย่างแข็งขันในป่า แต่ Intel ดูเหมือนจะค่อนข้างเขินอายกับปัญหาที่อาจเกิดขึ้น
“เราจะพัฒนาโปรแกรมต่อไปตามความจำเป็นเพื่อให้มีประสิทธิภาพมากที่สุดเท่าที่จะเป็นไปได้ และเพื่อช่วยให้เราปฏิบัติตามคำมั่นสัญญาที่ให้ความสำคัญกับความปลอดภัยเป็นอันดับแรก” Intel ให้คำมั่นสัญญา
คำแนะนำของบรรณาธิการ
- สหภาพยุโรปเสนอรางวัลบั๊กสำหรับการค้นหาข้อบกพร่องด้านความปลอดภัยในซอฟต์แวร์โอเพ่นซอร์ส
อัพเกรดไลฟ์สไตล์ของคุณDigital Trends ช่วยให้ผู้อ่านติดตามโลกแห่งเทคโนโลยีที่เปลี่ยนแปลงไปอย่างรวดเร็วด้วยข่าวสารล่าสุด รีวิวผลิตภัณฑ์สนุกๆ บทบรรณาธิการที่เจาะลึก และการแอบดูที่ไม่ซ้ำใคร
