Max Home IndustryЧтобы поддержать свое обязательство «Безопасность прежде всего», данное в ответ на Meltdown и Spectre, Intel открывает свою программу Bug Bounty для всех исследователей безопасности, увеличивает награды и предлагает новую программу, ориентированную специально на уязвимости побочных каналов.
Программа Intel® Bug Bounty была запущена в марте 2017 года, но до сих пор действовала только по приглашениям. Согласно его странице HackerOne, с момента его создания было выплачено 93 000 долларов США, а средняя награда составила 5 000 долларов США; Было рассмотрено 14 отчетов, а благодарность передана 15 исследователям безопасности.
Когда Брайан Кзанич опубликовал свое открытое письмо 11 января, его заверение было следующим:
К 15 января мы выпустим обновления как минимум для 90 процентов процессоров Intel, представленных за последние пять лет, а обновления для остальных процессоров будут доступны к концу января. Затем мы сосредоточимся на выпуске обновлений для более старых продуктов в соответствии с приоритетом наших клиентов.
Это обязательство оказалось невыполнимым, и в своем объявлении о расширении программы Bug Bounty Рик Эчеваррия отмечает, что переход от программы только по приглашениям к программе, открытой для всех исследователей безопасности, значительно расширит круг подходящих участников. исследователи.
Согласно доработанной программе основными требованиями для участия в программе являются:
Вы подаете отчет в индивидуальном качестве или, если работаете в другой компании, у вас есть письменное разрешение этой компании на отправку отчета в программу Intel Bug Bounty.
Вам не менее 18 лет, и, если вы считаете себя несовершеннолетним по месту жительства, у вас есть разрешение родителей или законного опекуна до подачи заявления.
Существуют обычные исключения, касающиеся того, что вы не находитесь в списке лиц, подпадающих под санкции США, или проживаете в стране, на которую распространяется эмбарго США, и что ни вы, ни какой-либо член семьи или член семьи не можете работать в Intel или одной из ее дочерних компаний в течение 6 месяцев. Кроме того, вы должны согласиться участвовать в тестировании эффективности смягчения последствий и координировать раскрытие / публикацию / публикацию вашего вывода с Intel.
Чтобы иметь право на рассмотрение Bounty Award, отчет должен указывать на исходную, ранее не сообщавшуюся и не раскрываемую публично уязвимость и должен быть зашифрован с помощью открытого PGP-ключа Intel PSIRT, доступного по адресу https://security-center.intel.com/PGPPublicKey. aspx. Отчет должен включать четкую документацию об уязвимости и инструкции о том, как воспроизвести уязвимость, а также должен включать вашу оценочную векторную строку CVSS v3, оценку и рейтинг с помощью одного из двух утвержденных калькуляторов CVSS v3.
Чтобы это было оправдано, это новый график награждения, в который входят программное обеспечение, прошивка и оборудование Intel.
Вы заметите, что самые высокие вознаграждения, до 100 000 долларов США, получают за уязвимости в оборудовании Intel, включая следующее:
Процессор (включая микрокод ПЗУ + обновления)
Набор микросхем
ПЛИС
Сеть / Связь
Материнская плата / система (например, Intel Compute Stick, NUC)
Твердотельные накопители
Прошивка Intel, включенная в программу, привлекающая вознаграждения в размере до 30 000 долларов США, включает:
UEFI BIOS (основные компоненты Tiano, в отношении которых корпорация Intel является единственным ответственным лицом)
Intel® Management Engine
Контроллер управления основной платой (BMC)
Материнская плата / система (например, Intel Compute Stick)
Твердотельные накопители
в то время как драйверы устройств, приложения и инструменты считаются программным обеспечением с вознаграждением до 10 000 долларов США.
Обратите внимание, однако, что уязвимости, уже известные Intel или в предварительных версиях и версиях, которые больше не находятся в активной поддержке, исключаются.
Новая программа с ограниченным сроком действия была ориентирована специально на уязвимости побочных каналов, которые коренятся в оборудовании Intel и могут использоваться с помощью программного обеспечения до 31 декабря 2018 г.
Премия за раскрытие информации в рамках этой программы составляет до 250 000 долларов:
Опять же, чем сложнее устранить уязвимость, тем больше будет платить Intel.