:

Szerző: Hlács Ferenc

2018. február 15. 15:15

Mindenki előtt megnyitja bugvadász programját az Intel

Már nem kell meghívó a biztonsági hibák jelentéséhez, a komolyabb sebezhetőségekért a chipgyártó idén akár 250 ezer dollárt is kifizet.

Frissíti bug bounty programját az Intel, a chipgyártó termékein felfedezett sebezhetőségekért mostantól vaskosabb összegeket csenget ki, újfajta hibákért is ad fejpénzt, illetve jóval szélesebb közönség előtt nyitja meg eddig meghívásos alapon működő kezdeményezését.

A vállalat bugvadász programja aránylag friss, azt az Intel tavaly márciusban indította, hogy pénzjutalommal ösztönözze a fejlesztőket és biztonsági szakértőket az együttműködésre, vagyis elsőként a cég felé jelezzék a felfedezett potenciális sebezhetőségeket - ahelyett, hogy azokat a feketepiacon értékesítenék. Hasonló kezdeményezést lényegében minden nagyobb technológiai cégnél láthatunk, az Apple-től, a Microsofton át a Tesláig. A program előnye nem csak abban rejlik, hogy lehetőséget ad az egyes hibák mielőbbi befoltozására, de azért is fontos, mert így a cégek koordináltan, előre megtervezett módon számolhatnak be a biztonsági résekről, ügyelve rá, hogy azok orvoslása előtt ne szivárogjon ki azok kihasználását lehetővé tevő információ.

Az Intel programjában azonban egészen mostanáig nem vehetett részt bárki, azt a cég meghívásos alapon működtette, most azonban minden biztonsági szakértő előtt megnyitja annak kapuit - néhány megkötés persze továbbra is akad. A bejelentő 18 évesnél idősebb kell hogy legyen, illetve ha országában így még kiskorúnak számít, gyámjának hozzájárulására is szükség van a felfedezett bug elküldéséhez. A programban továbbá nem vehetnek részt az Intel, illetve leányvállalatainak alkalmazottai és azok, akik 6 hónapnál nem régebben távoztak a cégtől, valamint az Egyesült Államok által embargó alá rendelt országok lakói sem.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig

Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

A bugjelentéseket az vállalat utasításai szerint a beküldőknek az Intel PSIRT nyilvános PGP kulcsával kell titkosítani, illetve természetesen azok az adott termék legutóbbi frissítésében is tetten érhetők kell hogy legyenek. A jelentésnek tartalmaznia kell a bug részletes dokumentációját, illetve a reprodukálására vonatkozó lépéseket is. A követelmények pontos listájáért érdemes ellátogatni az Intel bug bounty programjának kapcsolódó weboldalára.

Ahogy az lenni szokott, minél nehezebb egy-egy biztonsági rést orvosolni, annál többet fizet a vállalat a megtalálónak. A cég négy osztályba sorolja a bugokat, ezek az alacsony, közepes, magas és kritikus fenyegetések, amelyekért különböző összegeket fizet attól függően, hogy azt valamely szoftverében, firmware-ében vagy hardvertermékében találta meg a szakértő. A szoftveres hibák ára 500 dollárról indul és egészen 10 ezerig kúszik fel, míg a firmware-ek esetében a kevésbé veszélyes bugok is 1000 dollárt érhetnek, a fejpénz csúcsa pedig 30 ezer dollár. A vállalat a legtöbbet a hardveres sebezhetőségekért fizeti, azoknál 2000 dollárról indul a megtalálói jutalom és akár egészen 100 ezer dollárig is felkúszhat.

A felsoroltakra a hibák megtalálói folyamatosan pályázhatnak, de a cég ennél jóval nagyobb fejpénzeket kínáló, időszakos programokat is indít. Ilyen az idén december 31-ig tartó, kifejezetten a szoftveresen kihasználható, Intel hardverekre vonatkozó sérülékenységekre vadászó kezdeményezés is, amelynek díjazása 5000 és 250 ezer dollár között mozog. A bug bounty kiterjesztésében egyébként jó eséllyel komoly szerepet játszott a Spectre/Meltdown botrány is, amelynek a kezelésére irányuló eddigi kísérletek hatékonysága erősen vitatott.

a címlapról