viernes, 16 de febrero de 2018

Recompensas de hasta 250 mil dólares por encontrar bugs en productos Intel

La compañía ha decidido renovar su programa de caza de bugs con nuevas y más jugosas recompensas. Intel, que ya ha llevado a cabo iniciativas similares anteriormente, abrirá su nuevo proceso de búsqueda de vulnerabilidades a cualquier investigador con una cuenta de HackerOne. La lista de productos que serán expuestos a esta auditoría de seguridad mediante crowdsourcing es amplia y va mucho más allá de los procesadores, abarcando también chipsets, placas base, unidades SSD, tarjetas de red, FPGA y todo el software asociado, desde drivers y herramientas a firmwares.





  • En función de la gravedad de los bugs encontrados, las recompensas oscilarán entre los 500 y los 250.000 dólares. El programa finalizará oficialmente el 31 de diciembre de este año.

Las recompensas más modestas son aquellas con una severidad baja y que afectan al software de Intel, premiadas con 500 dólares. Esta dote sube a 1.000 dólares si afecta al firmware, más difícil de reparar, y asciende a los 2.000 dólares si hablamos de un bug que afecta directamente al hardware. La mayor recompensa corresponde a los fallos críticos en el hardware, cuyo descubrimiento tiene una recompensa de 100.000 dólares. En un cuadro aparte se computan los fallos de hardware que puedan ser explotados vía software (tal es el caso de Spectre), con premios comprendidos entre los 5.000 y los 250.000 dólares.

Vulnerability Severity Intel Hardware w/ Side Channel Exploit through Software
Critical (9.0 - 10.0) Up to $250,000
High (7.0 - 8.9) Up to $100,000
Medium (4.0 - 6.9) Up to $20,000
Low (0.1 - 3.9) Up to $5,000

ELIGIBLE INTEL PRODUCTS AND TECHNOLOGIES:

Intel Hardware

  • Processor (inclusive of micro-code ROM + updates)
  • Chipset
  • FPGA
  • Networking / Communication
  • Motherboard / System (e.g., Intel Compute Stick, NUC)
  • Solid State Drives

Intel Firmware

  • UEFI BIOS (Tiano core components for which Intel is the only named maintainer)
  • Intel® Management Engine
  • Baseboard Management Controller (BMC)
  • Motherboard / System (e.g., Intel Compute Stick)
  • Solid State Drives

Intel Software

  • Device driver
  • Application
  • Tool


Los programas de búsqueda abierta de bugs han demostrado ser muy exitosos, hasta el punto de que hasta la Unión Europea los está utilizando para verificar la seguridad del software utilizado en sus instituciones. No obstante, y como señala Bleeping Computer, sirven de muy poco si las compañías que los utilizan para auditar sus productos no emite a tiempo las soluciones necesarias, que es lo que le sucedió a Intel cuando Spectre y Meltdown fueron desvelados una semana antes de tiempo, a pesar de que la empresa tenía constancia de los mismos desde hacía meses.

Fuente:
https://www.elotrolado.net/noticia_intel-recompensara-la-caza-de-bugs-en-sus-procesadores-con-hasta-250-000-dolares_35090

No hay comentarios:

Publicar un comentario