Intel расширяет программу Bug Bounty


Чтобы поддержать свое обязательство «Безопасность прежде всего», данное в ответ на Meltdown и Spectre, Intel открывает свою программу Bug Bounty для всех исследователей безопасности, увеличивает награды и предлагает новую программу, ориентированную специально на уязвимости побочных каналов.

Программа Intel® Bug Bounty была запущена в марте 2017 года, но до сих пор действовала только по приглашениям. Согласно его странице HackerOne, с момента его создания было выплачено 93 000 долларов США, а средняя награда составила 5 000 долларов США; Было рассмотрено 14 отчетов, а благодарность передана 15 исследователям безопасности.

Когда Брайан Кзанич опубликовал свое открытое письмо 11 января, его заверение было следующим:

К 15 января мы выпустим обновления как минимум для 90 процентов процессоров Intel, представленных за последние пять лет, а обновления для остальных процессоров будут доступны к концу января. Затем мы сосредоточимся на выпуске обновлений для более старых продуктов в соответствии с приоритетом наших клиентов.

Это обязательство оказалось невыполнимым, и в своем объявлении о расширении программы Bug Bounty Рик Эчеваррия отмечает, что переход от программы только по приглашениям к программе, открытой для всех исследователей безопасности, значительно расширит круг подходящих участников. исследователи.

Согласно доработанной программе основными требованиями для участия в программе являются:

Вы подаете отчет в индивидуальном качестве или, если работаете в другой компании, у вас есть письменное разрешение этой компании на отправку отчета в программу Intel Bug Bounty.

Вам не менее 18 лет, и, если вы считаете себя несовершеннолетним по месту жительства, у вас есть разрешение родителей или законного опекуна до подачи заявления.

Существуют обычные исключения, касающиеся того, что вы не находитесь в списке лиц, подпадающих под санкции США, или проживаете в стране, на которую распространяется эмбарго США, и что ни вы, ни какой-либо член семьи или член семьи не можете работать в Intel или одной из ее дочерних компаний в течение 6 месяцев. Кроме того, вы должны согласиться участвовать в тестировании эффективности смягчения последствий и координировать раскрытие / публикацию / публикацию вашего вывода с Intel.

Чтобы иметь право на рассмотрение Bounty Award, отчет должен указывать на исходную, ранее не сообщавшуюся и не раскрываемую публично уязвимость и должен быть зашифрован с помощью открытого PGP-ключа Intel PSIRT, доступного по адресу https://security-center.intel.com/PGPPublicKey. aspx. Отчет должен включать четкую документацию об уязвимости и инструкции о том, как воспроизвести уязвимость, а также должен включать вашу оценочную векторную строку CVSS v3, оценку и рейтинг с помощью одного из двух утвержденных калькуляторов CVSS v3.

Чтобы это было оправдано, это новый график награждения, в который входят программное обеспечение, прошивка и оборудование Intel.

Вы заметите, что самые высокие вознаграждения, до 100 000 долларов США, получают за уязвимости в оборудовании Intel, включая следующее:

Процессор (включая микрокод ПЗУ + обновления)

Набор микросхем

ПЛИС

Сеть / Связь

Материнская плата / система (например, Intel Compute Stick, NUC)

Твердотельные накопители

Прошивка Intel, включенная в программу, привлекающая вознаграждения в размере до 30 000 долларов США, включает:

UEFI BIOS (основные компоненты Tiano, в отношении которых корпорация Intel является единственным ответственным лицом)

Intel® Management Engine

Контроллер управления основной платой (BMC)

Материнская плата / система (например, Intel Compute Stick)

Твердотельные накопители

в то время как драйверы устройств, приложения и инструменты считаются программным обеспечением с вознаграждением до 10 000 долларов США.

Обратите внимание, однако, что уязвимости, уже известные Intel или в предварительных версиях и версиях, которые больше не находятся в активной поддержке, исключаются.

Новая программа с ограниченным сроком действия была ориентирована специально на уязвимости побочных каналов, которые коренятся в оборудовании Intel и могут использоваться с помощью программного обеспечения до 31 декабря 2018 г.

Премия за раскрытие информации в рамках этой программы составляет до 250 000 долларов:

Опять же, чем сложнее устранить уязвимость, тем больше будет платить Intel.


Добавить комментарий