Bug nei prodotti Intel, più soldi per tutti

Intel ha aggiornato il Bug Bounty Program rendendolo accessibile a tutti i ricercatori di sicurezza e aumentando i premi in denaro fino a 250.000 dollari.
Intel ha aggiornato il Bug Bounty Program rendendolo accessibile a tutti i ricercatori di sicurezza e aumentando i premi in denaro fino a 250.000 dollari.
Bug nei prodotti Intel, più soldi per tutti

Circa un anno fa, Intel ha lanciato il Bug Bounty Program, un’iniziativa che permette di trovare più rapidamente eventuali vulnerabilità hardware e software con l’aiuto dei ricercatori di sicurezza. Il chipmaker di Santa Clara ha ora comunicato che il programma è accessibile a tutti. Inoltre è stato ampliato il numero di prodotti e soprattutto sono previste ricompense più alte (fino a 250.000 dollari).

Intel spiega che il modo migliore per proteggere gli utenti è divulgare le vulnerabilità in maniera coordinata. Solo così si evita la pubblicazione dei dettagli prima del rilascio delle patch. Lo scopo del Bug Bounty Program è proprio quello di incentivare la comunità di ricercatori a condividere le loro scoperte con Intel nel minor tempo possibile, in cambio di una somma di denaro commisurata alla gravità dei bug. Il programma è stato quindi esteso a tutti gli esperti di sicurezza, non solo a quelli che hanno ricevuto un invito.

In realtà i programmi sono due. Uno, permanente, prevede ricompense per tre categorie di vulnerabilità scoperte in hardware, firmware e software fino ad un massimo di 100.000 dollari. Il premio in denaro viene stabilito in base alla gravità del bug (bassa, media, alta e critica). I punteggi vengono assegnati seguendo il CVSS (Common Vulnerability Scoring System) 3.0. Il secondo programma è invece temporaneo e scade il 31 dicembre. In questo caso sono premiati i ricercatori che scoprono vulnerabilità di tipo “side-channel” con un massimo di 250.000 dollari.

I tre famosi bug individuati nei processori Intel, ovvero Meltdown e Spectre (varianti 1 e 2) hanno una gravità media (punteggio 5,6), quindi chi li ha scoperti (il team Project Zero di Google) avrebbe ricevuto 60.000 dollari in totale.

Ti consigliamo anche

Link copiato negli appunti