Как и многие другие компании, чьи продукты пользуются огромным спросом, компания Intel также запустила в действие программу премирования за найденные в её продуктах уязвимости. Программа Bug Bounty стартовала 17 марта 2017 года и предусматривала максимальные суммы выплат за найденные «баги» в программном обеспечении (премия до $7500), в микрокоде прошивок (оплата до $10 000) и в «железе» — в процессорах, SSD, контроллерах, сетевых устройствах и другое — за что полагались премиальные в размере до $30 000 в зависимости от критичности найденной ошибки.
Отличительная особенность программы Bug Bounty компании Intel от других подобных программ заключалась в том, что она работала по приглашению. Просто так найти уязвимость и прийти с ней к специалистам Intel было нельзя. Но времена и ситуации меняются. В январе стало широко известно о найденных в архитектуре процессоров Intel (и других компаний) так называемых уязвимостей Meltdown и Spectre. Уязвимость Meltdown крылась в механизмах, связанных со спекулятивным выполнением команд, а уязвимости Spectre, которых пока описаны два варианта, работали по побочным каналам с атакой на кеш.
Против Meltdown эффективных приёмов не оказалось. Для закрытия этой уязвимости необходимо либо изменять архитектуру процессоров, либо с помощью заплаток уходить от отдельных операций, связанных со спекулятивным исполнением команд. Атаки с использованием Spectre реализуются сложнее и, теоретически, парируются с меньшим расходом ресурсов процессора. Беда только в том, что таких атак может быть множество и их ещё необходимо найти.
Компания Intel, как нетрудно догадаться, крайне заинтересована в поисках уязвимостей в процессорах и продуктах. Поэтому в компании приняли решение увеличить премию за найденные уязвимости с атакой по побочным каналам до максимальной суммы $250 тыс. Под атакой по побочным каналам следует также понимать любой другой вид атаки, открывающий доступ к чувствительным данным без атаки на объект, хранящий эти данные. Например, измерение потребления процессора или перехват клавиатуры, если речь идёт о простейшем классическом способе. Уточним, действие этой премиальной ставки закончится 31 декабря 2018 года.
Кроме особенной премии за найденные уязвимости с атакой по побочным каналам, Intel поднимает максимальную премию за прочие найденные уязвимости до $100 000 и делает программу Bug Bounty открытой для всех желающих специалистов. Главное, что бы соискателям было не меньше 18 лет, они или их родственники не работали в Intel или её филиалах (последние 6 месяцев) и не находились бы в санкционных списках США, а страна проживания не была бы под эмбарго США.
Источник: 3DNews