The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

16.02.2018 23:47  Компания Intel представила программу выплаты вознаграждений за поиск уязвимостей

Компания Intel представила новую инициативу по выплате вознаграждений за выявление уязвимостей в своих продуктах. В отличие от ранее действовавшей программы, участники которой отбирались по приглашениям, в новой программе может принять участие любой исследователь безопасности. Максимальный размер вознаграждения за уязвимости увеличен до 100 тысяч долларов (минимальная премия - $500). Для атак на оборудование по сторонним каналам, таким как Meltdown, учреждена отдельная премия, выплаты по которой составляют от 5 до 250 тысяч долларов.

Размер выплаты сильно зависит от уровня опасности уязвимости (CVSS) и типа продукта. За критическую уязвимость (CVSS 9.0 - 10.0) в программном обеспечении (драйверы, приложения и утилиты, за исключением открытых проектов) максимальная премия составляет $10000, в прошивках (UEFI BIOS, Intel ME, BMC, прошивки SSD-накопителей) - $30000, в оборудовании (CPU, сетевые карты, материнские платы, SSD, FPGA и т.п.) - $100000, в оборудовании при атаке через ПО по сторонним каналам - $250000.

Для опасных уязвимостей (CVSS 7.0 - 8.9) размер выплат может доходить до $5000, $15000, $30000 и $100000 соответственно. Для уязвимостей средней опасности (CVSS 4.0 - 6.9) выплаты могут доходить до $1500, $3000, $5000 и $20000, а для неопасных проблем (CVSS 0.1 - 3.9) до $500, $1000, $2000 и $5000. Например, для Meltdown и Spectre уровень опасности был определён в 5.6, что соответствует выплате в 20 тысяч долларов.

  1. Главная ссылка к новости (https://newsroom.intel.com/new...)
  2. OpenNews: Раскрыты подробности двух атак на процессоры Intel, AMD и ARM64
  3. OpenNews: Компания Google увеличила размер вознаграждения за усиление безопасности свободного ПО
  4. OpenNews: Intel устранил удалённую уязвимость в технологии AMT (Active Management Technology)
  5. OpenNews: Серия критических уязвимостей в Intel Management Engine
  6. OpenNews: Инициатива по выплате вознаграждений за поиск уязвимостей на сайтах Mozilla
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: intel, bug
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, A.Stahl (ok), 23:59, 16/02/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +23 +/
    Открыли бы исходники глядишь люди и повылавливали бы ошибки. А так кому интересно ковыряться в этих блобах за пару килобаксов? Выгодней, наверное, если уж что и наковырять, то продать "заинтересованным лицам", а не Интелу за символическую плату.
     
     
  • 2.2, Аноним (-), 00:03, 17/02/2018 [^] [ответить]    [к модератору]
  • +10 +/
    Молодец,  стальной, все верно толкуешь
     
  • 2.10, Ne01eX (ok), 07:55, 17/02/2018 [^] [ответить]    [к модератору]
  • +2 +/
    Я правильно понял, что в случае нахождения уязвимости в открытом проекте Intel вознаграждение аудитору не выплачивается от слова совсем? :-\
     
     
  • 3.14, Хряк (?), 12:49, 17/02/2018 [^] [ответить]    [к модератору]
  • +4 +/
    "от слова" - лишнее в предложении.
     
  • 1.3, Аноним (-), 00:19, 17/02/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +7 +/
    я штота не понял - им мелтдауна мало, еще чего-то не хватает?

     
     
  • 2.8, Anonymoustus (ok), 03:33, 17/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Видимо, есть ещё какие-то «оптимизации архитектуры», благодаря которым соплероны и прочие корки быстрее процессоров AMD.
     
     
  • 3.29, Аноним (-), 17:48, 18/02/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Походу оптимизации такие чем меньше проверок всяких граничных условий и прочих ... весь текст скрыт [показать]
     
     
  • 4.30, Anonymoustus (ok), 20:09, 18/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > Походу оптимизации такие: чем меньше проверок всяких граничных условий и прочих ненужно
    > в OoO тем быстрее работает процессор. А то что кто-то все-же
    > заметил через 20 лет что интел срезал угол - "ну значит
    > не прокатило" (c) :)

    Заметили это, во-первых, при появлении ещё самых первых Centrino. Во-вторых, заметили при появлении Core 2. В-третьих, заметили при появлении Nehalem. В-четвёртых, заметили при появлении Sandy Bridge. И вообще мы наблюдательные. Все интеловские срезания углов у нас занесены в журнал. Только супротив Штеуда наше слово тихое.

     
     
  • 5.32, Аноним (-), 22:23, 19/02/2018 [^] [ответить]     [к модератору]  
  • +/
    Что-то не помню сообщений от вас о meltdown и spectre Да и уровень этот атак бо... весь текст скрыт [показать]
     
     
  • 6.34, Anonymoustus (ok), 00:13, 20/02/2018 [^] [ответить]    [к модератору]  
  • +/
    Удалили мой комментарий, малыш, но ты понял, что я тебе хотел сказать.
     
  • 2.12, Ананас (?), 12:21, 17/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Раз уж переделывать архитектуру, то пошире.
     
  • 2.15, Michael Shigorin jolla (?), 13:21, 17/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > я штота не понял - им мелтдауна мало, еще чего-то не хватает?

    судя по каким-то $20к за такое -- явно мало

     
     
  • 3.19, Мураками (?), 14:14, 17/02/2018 [^] [ответить]    [к модератору]  
  • +/
    возможно это тонкий намёк на то что дырки есть и по толще, хотя куда уж там
     
     
  • 4.23, пох (?), 18:49, 17/02/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    > возможно это тонкий намёк на то что дырки есть и по толще, хотя куда уж там

    такую награду объявляют в двух случаях - если про дырки действительно не в курсе, и готовы платить чтобы о них узнать, либо если абсолютно уверены что платить не придется - для саморекламы.

    для попытки сохранить информацию в тайне и сумма маловата, и условия странные.

    так что вполне возможный вариант, что закупили пару деревенек разработчиков где-нибудь в Синьцзяне, и впрямь собираются существенно менять архитектуру.

     
     
  • 5.31, Аноним (-), 10:43, 19/02/2018 [^] [ответить]     [к модератору]  
  • +/
    ну это вряд ли, скорее есть оптимизации, о которых думают, что их никогда не най... весь текст скрыт [показать]
     
  • 1.4, VINRARUS (ok), 00:23, 17/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –8 +/
    Я нашол уязвимость Ынтель - его руководство.
    Деньги киньте по имейлу.
     
     
  • 2.26, key (??), 21:32, 17/02/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Боюсь это архитектурная проблема. Не скоро исправят.
     
  • 1.5, AntonAlekseevich (ok), 01:13, 17/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > Meltdown и Spectre уровень опасности был определён в 5.6, что соответствует выплате в 20 тысяч долларов.

    Я бы поставил значение больше чем 5.6. (За 20 то лет его наличия.)

     
     
  • 2.6, angra (ok), 02:36, 17/02/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Ну приведи свой подсчет с обоснованиями. Хотя с учетом того, что ты не назвал конкретную цифру, уже понятно, что идея строгих критериев и механизма подсчета оценки тебе не знакома. Разочарую, привычная тебе по всяким сайтикам система, где юзеры тыком в циферку выставляют оценку, основываясь на ощущениях, тут не работает. И даже, о ужас, усредненное мнение юзеров не подсчитывается. С критериями и методикой подсчета можно ознакомится по адресу https://www.first.org/cvss/
     
     
  • 3.16, Мураками (?), 13:58, 17/02/2018 [^] [ответить]    [к модератору]  
  • +/
    а ты считаешь что у Интеля подсчёт обоснованный ?
    да их убытки за месяц от недополученной прибыли явно на несколько порядков больше будет и это не считая огромных репарационных издержек
     
     
  • 4.17, Мураками (?), 14:00, 17/02/2018 [^] [ответить]    [к модератору]  
  • +/
    > репутационных

    fix

     
  • 1.7, Tantrido (?), 03:08, 17/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Смотрю интел быстрее подсуетилась нежели амд. амд нужно срочно PSP открывать и опять позволить загрузку с coreboot.
     
     
  • 2.27, AlexYeCu_not_logged (?), 00:44, 18/02/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    >амд нужно срочно PSP открывать и опять позволить загрузку с coreboot

    Сдаётся мне, АМД этого при всём желании сделать не сможет: наверняка там какие-то соглашения с Интел, АНБ и K°, правообладателями и прочими. Иначе они б давно выпихнули Интел с очень многих рынков чисто на coreboot Vs. Intel ME.

     
  • 1.11, Ололо (?), 12:20, 17/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +7 +/
    Что-то "вознаграждения" какие-то скромные. Менеджер интеля в ресторан сходил.
     
  • 1.13, koblin (ok), 12:42, 17/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    С подписанием nda поди
     
  • 1.24, Аноним84701 (ok), 19:24, 17/02/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    Начало там вообще пафосное:
    > Intel Corporation believes that working with skilled security researchers across the globe is a crucial part of identifying and mitigating security vulnerabilities in Intel products and technologie

    Если бы они еще лет на 10 раньше озаботились (Intel Bug Bounty стартовала в марте 2017).
    И не накладывли такие ограничения.
    И не жмотились на премии за ковыряние в блобах – у того же гугла премии посолиднее будут, а для ковыряния совсем не нужно покупать/экспериментировать с недешевым железом, с риском превращения оного в кирпич. Тогда и выглядело бы все более ... достоверно что ли, а не как судоржные попытки PR отдела выправить репутацию.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor