Intel предлагает до $250 тыс. за найденные уязвимости

16 февраля 2018 г., пятница

В зависимости от опасности обнаруженной проблемы исследователи могут получить от $500 до $250 тыс.

Компания Intel запустила публичную программу вознаграждения за найденные уязвимости в своих программных и аппаратных продуктах, позволяющую получить до $250 тыс. за найденную проблему. Об этом компания сообщила в пресс-релизе.

Ранее Intel уже запускала подобные программы, однако участие в них было строго ограничено. Новая программа, которая будет проводиться на платформе HackerOne, доступна для всех желающих. Любой исследователь безопасности с учетной записью на HackerOne теперь сможет искать уязвимости в ряде продуктов Intel, таких как процессоры, коды чипсетов, SSD, материнские платы, сетевые карты и их соответствующие прошивки, а также в драйверах и приложениях уровня ОС. В зависимости от опасности обнаруженной проблемы исследователи могут получить от $500 до $250 тыс.

Фактически, Intel запустила сразу две программы по поиску уязвимостей. Одна из них ориентирована на поиск обычных проблем безопасности и предусматривает вознаграждение в размере от $500 до $100 тыс. Вторая представляет собой программу вознаграждения за поиск уязвимостей, позволяющих провести атаку по сторонним каналам. Исследователи смогут заработать от $5 тыс. до $250 тыс. Данная программа действует до 31 декабря 2018 года.

По словам представителей Intel, под проблемами, позволяющими провести атаку по сторонним каналам, подразумеваются уязвимости в аппаратном обеспечении, которые можно проэксплуатировать с помощью локального программного обеспечения. К подобным уязвимостям относятся Meltdown и Spectre.

Атака по сторонним каналам (side-channel attack) — класс атак, направленный на уязвимости в практической реализации криптосистемы. В отличие от теоретического криптоанализа, атака по сторонним каналам использует информацию о физических процессах в устройстве, которые не рассматриваются в теоретическом описании криптографического алгоритма.

SecurityLabRu