Хочете швидко заробити 250 000 доларів? Хто ні, чи не так? Якщо ви володієте ноу-хау, щоб виявляти вразливі місця в апаратному та програмному забезпеченні, тоді ця висока винагорода може бути вам доступна. Зараз Intel пропонує оновлену програму винагород за помилки до 31 грудня 2018 року, встановивши цю приємну маленьку частину змін як максимальну виплату за виявлення «вразливостей бічного каналу». Ці уразливості — це приховані недоліки в типових операціях програмного та апаратного забезпечення, які потенційно можуть привести хакерів до конфіденційних даних, як-от останній Експлойти Meltdown і Spectre.
«На підтримку нашого нещодавнього гарантійна застава, ми внесли кілька оновлень у нашу програму», — кажуть у компанії. «Ми віримо, що ці зміни дозволять нам ширше залучати спільноту дослідників безпеки та забезпечувати кращі стимули для скоординованої реакції та розкриття інформації, що допомагає захистити наших клієнтів та їх клієнтів дані».
Рекомендовані відео
Intel спочатку запустила його
Програма винагороди за помилки у березні 2017 року як план лише за запрошеннями для окремих дослідників безпеки. Тепер програма відкрита для всіх у надії звести до мінімуму ще одне відкриття типу Meltdown за допомогою більшого кола дослідників. Компанія також підвищує суми винагороди для всіх інших винагород, деякі з яких пропонують до 100 000 доларів США.Список вимог Intel для звітування про вразливості бічного каналу дещо короткий, включаючи Вимоги до 18 років, шість місяців між роботою з Intel і повідомленням про проблему, серед іншого вимоги. Усі звіти мають бути зашифровані за допомогою публічного ключа PGP Intel PSIRT, вони мають ідентифікувати оригінальну нерозкриту проблему, містити результати обчислень CVSS v3 тощо.
Intel хоче, щоб дослідники безпеки виявляли помилки в її процесорах, чіпсетах, твердотільних накопичувачах, автономних такі продукти, як NUC, мережеві та комунікаційні чіпсети, а також інтегровані вентильні матриці, що програмуються в польових умовах схеми. Intel також перераховує п’ять типів мікропрограм і три типи програмного забезпечення, які підпадають під її баунти-парасольку: драйвери, програми та інструменти.
“Intel присудить винагороду за перше повідомлення про вразливість із достатньою кількістю деталей, щоб Intel могла відтворити її», — заявляє компанія. “Intel присудить винагороду від 500 до 250 000 доларів США залежно від характеру вразливості та якості та змісту звіту. Перший отриманий зовнішній звіт про внутрішню відому вразливість отримає винагороду в розмірі не більше 1500 доларів США».
У січні дослідники оприлюднили інформацію про вразливість, знайдену в процесорах 2011 року, яка дозволяє хакерам отримати доступ до системної пам’яті та отримати конфіденційні дані. Вектор атаки використовує переваги методу, який використовують процесори для прогнозування результату рядка процесу. Використовуючи цю техніку прогнозування, процесори зберігають конфіденційні дані в системній пам’яті в незахищеному стані.
Один із методів отримання доступу до цих даних називається Meltdown, який потребує спеціального програмного забезпечення для збору даних. За допомогою Spectre хакери могли обманом змусити законні програми та програми отримати конфіденційні дані. Обидва методи є теоретичними і наразі не використовуються в дикій природі, але Intel, здавалося, дещо збентежена потенційними проблемами.
«Ми продовжуватимемо вдосконалювати програму за потреби, щоб зробити її максимально ефективною та допомогти нам виконати нашу обіцянку щодо безпеки на першому місці», — обіцяє Intel.
Рекомендації редакції
- ЄС запропонує винагороду за виявлення недоліків у безпеці програмного забезпечення з відкритим кодом
Оновіть свій спосіб життяDigital Trends допомагає читачам стежити за динамічним світом технологій завдяки всім останнім новинам, цікавим оглядам продуктів, проникливим редакційним статтям і унікальним у своєму роді коротким оглядам.
