Una taglia da 250.000$ per chi trova vulnerabilità nei processori Intel

Il Bug Bounty Program di Intel è ora aperto a tutti. Ricompense fino a 250.000$ per chi trova vulnerabilità simili a Spectre e Meltdown

Meltdown e Spectre
[banner]…[/banner]

Intel ha avviato un nuovo programma di bounty hunting per individuare vulnerabilità simili a Spectre e Meltdown. Questo tipo di programmi consentono di ricevere riconoscimenti e ricompense in denaro per la segnalazione di bug, in particolar modo di quelli relativi a exploit e vulnerabilità.

Intel ha annunciato in un post sul blog aziendale che il programma bug bounty non è più su invito ma è aperto al pubblico. Rick Echevarria, vice presidente e general manager responsabile della platform security, ha dichiarato: “Riteniamo che questi cambiamenti permetteranno di coinvolgere maggiormente la comunità che si occupa di ricerca nell’ambito della sicurezza, fornendo incentivi maggiori con reazioni coordinate e divulgazioni delle conclusioni che aiutano a proteggere i nostri clienti e i loro dati”.

Meltdown e Spectre

Spectre e Meltdown sono due vulnerabilità rese note a fine gennaio e riguardano l’architettura di numerosi processori.  Le vulnerabilità sono legate essenzialmente a scelte progettuali nell’implementazione dell’architettura delle CPU e potranno essere rimosse solo sostituendo l’hardware difettoso. Alcune varianti degli attacchi possono essere mitigate da aggiornamenti software specifici per i sistemi operativi più diffusi, anche se in alcuni casi a scapito delle prestazioni del processore.

I principali produttori di sistemi operativi, i produttori di CPU, GPU e altri prodotti hanno rilasciato patch specifiche e update per rendere più “robusti” sistemi operativi e software da questo tipo di attacchi.

Oltre ad avere aumentato i ricercatori che possono analizzare suoi hardware e software e predisposto ricompense più elevate, Intel ha aumentato le ricompense in generale, portandole fino a 100mila dollari in aree legate a criticità hardware. Il produttore di CPU offre fino a 30mila dollari per falle nei firmware e 10mila per l’identificazione di vulnerabilità nei software.