Tom's Hardware Italia
CPU

Cercate bug nei prodotti Intel, adesso pagano di più

Dopo Spectre e Meltdown, Intel ha deciso di ampliare il suo Bug Bounty Program aprendolo a tutti. L'azienda chiede ai ricercatori di scovare falle side channel nei propri prodotti e alza il valore delle ricompense.

Per il mondo dei microprocessori e in particolare Intel gli attacchi Spectre e Meltdown sono arrivati come un fulmine a ciel sereno, ricordando a tutti come la sicurezza – oggi più che mai – sia da mettere al primo posto, anche nel settore hardware.

In virtù di questo campanello d'allarme Intel ha deciso di estendere il suo "Bug Bounty Program" avviato nel marzo dello scorso anno per incentivare i ricercatori di sicurezza a collaborare nell'individuazione e segnalazione delle vulnerabilità nei propri prodotti.

Il programma di "caccia ai bug" è una pratica perseguita da moltissime aziende, in genere con ottimi frutti, perché sono tante le falle segnalate e risolte grazie al lavoro di molti ricercatori di sicurezza indipendenti, che in questo modo vengono ricompensati per il loro lavoro, a volte anche profumatamente.

Inoltre, particolare non di poco conto per Intel e gli altri, i ricercatori s'impegnano a un processo responsabile e coordinato di divulgazione del bug, ossia danno alle aziende il tempo di mettere una pezza al problema prima di rivelarlo al resto del mondo.

meltdown spectre

"A sostegno del nostro recente impegno per la sicurezza, abbiamo apportato diversi aggiornamenti al nostro programma. Riteniamo che questi cambiamenti ci consentiranno di coinvolgere in modo più ampio la comunità dei ricercatori di sicurezza e dare migliori incentivi verso una risposta e una divulgazione coordinate che contribuiscano a proteggere i nostri clienti e i loro dati".

Tra i cambiamenti al Bug Bounty Program troviamo il passaggio dalla formula a soli inviti a una aperta a tutti, il che espande nettamente il numero di ricercatori che possono analizzare i prodotti – hardware, firmware, software, CPU, chipset, FPGA, SSD, driver, ecc. – e comunicare a Intel l'esistenza di falle più o meno gravi.

Falle CPU Spectre e Meltdown, prepariamoci ai primi attacchi

Intel ha inoltre creato un nuovo programma "focalizzato specificatamente sulle vulnerabilità side channel fino al 31 dicembre di quest'anno". Questa è la risposta diretta a Spectre e Meltdown, proprio due attacchi side channel. La ricompensa per i ricercatori può arrivare fino a 250mila dollari a seconda della gravità del problema.

Intel ha inoltre aumentato le ricompense in generale, portandole fino a 100mila dollari in altre aree legate a criticità hardware. Si parla invece di un massimo di 30mila dollari per falle nei firmware e 10mila per l'identificazione di bug critici nei software. Chi fosse interessato su questi aggiornamenti può approfondire sul sito sulla sicurezza di Intel o la pagina su HackerOne.


Tom's Consiglia

Il processore più venduto su Amazon in questo momento è il nuovo top di gamma mainstream a sei core Core i7-8700K.