The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Компания Intel представила программу выплаты вознаграждений ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Компания Intel представила программу выплаты вознаграждений ..."  +/
Сообщение от opennews (ok) on 16-Фев-18, 23:59 
Компания Intel представила (https://newsroom.intel.com/news/expanding-intels-bug-bounty-.../) новую инициативу (https://security-center.intel.com/BugBountyProgram.aspx) по выплате вознаграждений за выявление уязвимостей в своих продуктах. В отличие от ранее действовавшей программы, участники которой отбирались  по приглашениям, в новой программе может принять участие любой исследователь безопасности. Максимальный размер вознаграждения за уязвимости увеличен до 100 тысяч долларов (минимальная премия - $500). Для атак на оборудование по сторонним каналам, таким как Meltdown, учреждена отдельная премия, выплаты по которой составляют от 5 до 250 тысяч долларов.


Размер выплаты сильно зависит от уровня опасности уязвимости  (CVSS) и типа продукта. За критическую уязвимость (CVSS 9.0 - 10.0)  
в программном обеспечении (драйверы, приложения и утилиты, за исключением открытых проектов) максимальная премия составляет $10000, в прошивках (UEFI BIOS, Intel ME, BMC, прошивки SSD-накопителей) - $30000, в оборудовании (CPU, сетевые карты, материнские платы, SSD, FPGA  и т.п.) - $100000, в оборудовании при атаке через ПО по сторонним каналам - $250000.


Для опасных уязвимостей (CVSS 7.0 - 8.9) размер выплат может доходить до $5000, $15000, $30000  и $100000 соответственно. Для уязвимостей средней опасности (CVSS 4.0 - 6.9) выплаты могут доходить до $1500, $3000, $5000 и $20000, а для неопасных проблем (CVSS 0.1 - 3.9) до $500, $1000, $2000 и $5000.
Например, для Meltdown и Spectre уровень опасности был определён в 5.6, что соответствует выплате в 20 тысяч долларов.


URL: https://newsroom.intel.com/news/expanding-intels-bug-bounty-.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=48089

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Компания Intel представила программу выплаты вознаграждений ..."  +23 +/
Сообщение от A.Stahl (ok) on 16-Фев-18, 23:59 
Открыли бы исходники глядишь люди и повылавливали бы ошибки. А так кому интересно ковыряться в этих блобах за пару килобаксов? Выгодней, наверное, если уж что и наковырять, то продать "заинтересованным лицам", а не Интелу за символическую плату.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Компания Intel представила программу выплаты вознаграждений ..."  +10 +/
Сообщение от Аноним (??) on 17-Фев-18, 00:03 
Молодец,  стальной, все верно толкуешь
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Компания Intel представила программу выплаты вознаграждений ..."  +2 +/
Сообщение от Ne01eX (ok) on 17-Фев-18, 07:55 
Я правильно понял, что в случае нахождения уязвимости в открытом проекте Intel вознаграждение аудитору не выплачивается от слова совсем? :-\
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

14. "Компания Intel представила программу выплаты вознаграждений ..."  +4 +/
Сообщение от Хряк on 17-Фев-18, 12:49 
"от слова" - лишнее в предложении.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

3. "Компания Intel представила программу выплаты вознаграждений ..."  +7 +/
Сообщение от Аноним (??) on 17-Фев-18, 00:19 
я штота не понял - им мелтдауна мало, еще чего-то не хватает?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Компания Intel представила программу выплаты вознаграждений ..."  +/
Сообщение от Anonymoustus (ok) on 17-Фев-18, 03:33 
Видимо, есть ещё какие-то «оптимизации архитектуры», благодаря которым соплероны и прочие корки быстрее процессоров AMD.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

29. "Компания Intel представила программу выплаты вознаграждений ..."  +1 +/
Сообщение от Аноним (??) on 18-Фев-18, 17:48 
Походу оптимизации такие: чем меньше проверок всяких граничных условий и прочих ненужно в OoO тем быстрее работает процессор. А то что кто-то все-же заметил через 20 лет что интел срезал угол - "ну значит не прокатило" (c) :)
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

30. "Компания Intel представила программу выплаты вознаграждений ..."  +/
Сообщение от Anonymoustus (ok) on 18-Фев-18, 20:09 
> Походу оптимизации такие: чем меньше проверок всяких граничных условий и прочих ненужно
> в OoO тем быстрее работает процессор. А то что кто-то все-же
> заметил через 20 лет что интел срезал угол - "ну значит
> не прокатило" (c) :)

Заметили это, во-первых, при появлении ещё самых первых Centrino. Во-вторых, заметили при появлении Core 2. В-третьих, заметили при появлении Nehalem. В-четвёртых, заметили при появлении Sandy Bridge. И вообще мы наблюдательные. Все интеловские срезания углов у нас занесены в журнал. Только супротив Штеуда наше слово тихое.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

32. "Компания Intel представила программу выплаты вознаграждений ..."  +/
Сообщение от Аноним (??) on 19-Фев-18, 22:23 
> Заметили это, во-первых, при появлении ещё самых первых Centrino. Во-вторых, заметили при
> появлении Core 2. В-третьих, заметили при появлении Nehalem. В-четвёртых, заметили при
> появлении Sandy Bridge. И вообще мы наблюдательные. Все интеловские срезания углов
> у нас занесены в журнал. Только супротив Штеуда наше слово тихое.

Что-то не помню сообщений от вас о meltdown и spectre. Да и уровень этот атак больно уж крут для таких как вы деградов.


Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

34. "Компания Intel представила программу выплаты вознаграждений ..."  +/
Сообщение от Anonymoustus (ok) on 20-Фев-18, 00:13 
Удалили мой комментарий, малыш, но ты понял, что я тебе хотел сказать.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

12. "Компания Intel представила программу выплаты вознаграждений ..."  +1 +/
Сообщение от Ананас on 17-Фев-18, 12:21 
Раз уж переделывать архитектуру, то пошире.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

15. "Компания Intel представила программу выплаты вознаграждений ..."  +/
Сообщение от Michael Shigorin jolla email on 17-Фев-18, 13:21 
> я штота не понял - им мелтдауна мало, еще чего-то не хватает?

судя по каким-то $20к за такое -- явно мало

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

19. "Компания Intel представила программу выплаты вознаграждений ..."  +/
Сообщение от Мураками on 17-Фев-18, 14:14 
возможно это тонкий намёк на то что дырки есть и по толще, хотя куда уж там
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

23. "Компания Intel представила программу выплаты вознаграждений ..."  –1 +/
Сообщение от пох on 17-Фев-18, 18:49 
> возможно это тонкий намёк на то что дырки есть и по толще, хотя куда уж там

такую награду объявляют в двух случаях - если про дырки действительно не в курсе, и готовы платить чтобы о них узнать, либо если абсолютно уверены что платить не придется - для саморекламы.

для попытки сохранить информацию в тайне и сумма маловата, и условия странные.

так что вполне возможный вариант, что закупили пару деревенек разработчиков где-нибудь в Синьцзяне, и впрямь собираются существенно менять архитектуру.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

31. "Компания Intel представила программу выплаты вознаграждений ..."  +/
Сообщение от Аноним (??) on 19-Фев-18, 10:43 
> если про дырки действительно не в курсе,

ну это вряд ли, скорее есть оптимизации, о которых думают, что их никогда не найдут, и, несомненно, есть закладки/бекдоры (ну куда же без этого!)

> и готовы платить чтобы о них узнать,

судя по копеечным суммам, в Интеле знают о наличии других "уязвимостей", но НЕ готовы за это платить, но чтобы сохранить лицо, делают вид, что не знают.

Если найдешь - молодец - так и быть, на тебе конфетку

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

4. "Компания Intel представила программу выплаты вознаграждений ..."  –8 +/
Сообщение от VINRARUS (ok) on 17-Фев-18, 00:23 
Я нашол уязвимость Ынтель - его руководство.
Деньги киньте по имейлу.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Компания Intel представила программу выплаты вознаграждений ..."  +1 +/
Сообщение от key email(??) on 17-Фев-18, 21:32 
Боюсь это архитектурная проблема. Не скоро исправят.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Компания Intel представила программу выплаты вознаграждений ..."  +1 +/
Сообщение от AntonAlekseevich email(ok) on 17-Фев-18, 01:13 
> Meltdown и Spectre уровень опасности был определён в 5.6, что соответствует выплате в 20 тысяч долларов.

Я бы поставил значение больше чем 5.6. (За 20 то лет его наличия.)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Компания Intel представила программу выплаты вознаграждений ..."  –1 +/
Сообщение от angra (ok) on 17-Фев-18, 02:36 
Ну приведи свой подсчет с обоснованиями. Хотя с учетом того, что ты не назвал конкретную цифру, уже понятно, что идея строгих критериев и механизма подсчета оценки тебе не знакома. Разочарую, привычная тебе по всяким сайтикам система, где юзеры тыком в циферку выставляют оценку, основываясь на ощущениях, тут не работает. И даже, о ужас, усредненное мнение юзеров не подсчитывается. С критериями и методикой подсчета можно ознакомится по адресу https://www.first.org/cvss/
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

16. "Компания Intel представила программу выплаты вознаграждений ..."  +/
Сообщение от Мураками on 17-Фев-18, 13:58 
а ты считаешь что у Интеля подсчёт обоснованный ?
да их убытки за месяц от недополученной прибыли явно на несколько порядков больше будет и это не считая огромных репарационных издержек
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

17. "Компания Intel представила программу выплаты вознаграждений ..."  +/
Сообщение от Мураками on 17-Фев-18, 14:00 
> репутационных

fix

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

7. "Компания Intel представила программу выплаты вознаграждений ..."  +1 +/
Сообщение от Tantrido on 17-Фев-18, 03:08 
Смотрю интел быстрее подсуетилась нежели амд. амд нужно срочно PSP открывать и опять позволить загрузку с coreboot.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Компания Intel представила программу выплаты вознаграждений ..."  –1 +/
Сообщение от AlexYeCu_not_logged on 18-Фев-18, 00:44 
>амд нужно срочно PSP открывать и опять позволить загрузку с coreboot

Сдаётся мне, АМД этого при всём желании сделать не сможет: наверняка там какие-то соглашения с Интел, АНБ и K°, правообладателями и прочими. Иначе они б давно выпихнули Интел с очень многих рынков чисто на coreboot Vs. Intel ME.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Компания Intel представила программу выплаты вознаграждений ..."  +7 +/
Сообщение от Ололо on 17-Фев-18, 12:20 
Что-то "вознаграждения" какие-то скромные. Менеджер интеля в ресторан сходил.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Компания Intel представила программу выплаты вознаграждений ..."  +4 +/
Сообщение от koblin (ok) on 17-Фев-18, 12:42 
С подписанием nda поди
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Компания Intel представила программу выплаты вознаграждений ..."  +5 +/
Сообщение от Аноним84701 (ok) on 17-Фев-18, 19:24 
Начало там вообще пафосное:
> Intel Corporation believes that working with skilled security researchers across the globe is a crucial part of identifying and mitigating security vulnerabilities in Intel products and technologie

Если бы они еще лет на 10 раньше озаботились (Intel Bug Bounty стартовала в марте 2017).
И не накладывли такие ограничения.
И не жмотились на премии за ковыряние в блобах – у того же гугла премии посолиднее будут, а для ковыряния совсем не нужно покупать/экспериментировать с недешевым железом, с риском превращения оного в кирпич. Тогда и выглядело бы все более ... достоверно что ли, а не как судоржные попытки PR отдела выправить репутацию.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру