Компания Intel анонсировала публично доступную bug bounty программу и предложила всем желающим поискать уязвимости в своем софте, прошивках и железе. Дело в том, что раньше программа вознаграждения за уязвимости у Intel тоже существовала, но она работала только по приглашениям и была доступна лишь избранным ИБ-специалистам. Теперь же инициатива доступна для всех на платформе HackerOne.
В рамках bug bounty можно искать уязвимости практически во всех продуктах Intel, включая CPU, чипсеты, материнские платы, SSD, сетевое оборудование, а также ПО, прошивки, драйверы и приложения системного уровня. Более подробно с условиями программы можно ознакомиться на официальной странице HackerOne. За обнаруженные уязвимости компания обещает выплачивать от 500 долларов до 250 000.
Однако если прочитать предложенные Intel условия внимательно, становится ясно, что bug bounty программ, в сущности, сразу две. Обычная, с выплатами до 100 000 долларов, а также временная, которая продлится до 31 декабря 2018 года, и подразумевает выплаты до 250 000.
Во втором случае представители Intel предлагают специалистам поискать side-channel проблемы в продуктах компании. Глобальные уязвимости Meltdown и Spectre как раз относятся к багам такого рода.
В СМИ старт данной bug bounty инициативы уже назвали PR-ходом, который вряд ли поможет улучшить ситуацию. Дело в том, что уязвимости Meltdown и Spectre были обнаружены еще летом 2017 года, и проблема заключается вовсе не в том, что ранее bug bounty программа Intel была закрытой, а в противном случае баги могли бы найти раньше. Проблема состоит в том, что представители Intel уведомили производителей и своих партнеров о происходящем лишь в ноябре 2017 года. Хуже того, несмотря на прошедшие месяцы, компания до сих пор не сумела создать и представить корректно работающие патчи для Meltdown и Spectre, хотя специалисты полагают, что времени у инженеров Intel было более чем достаточно.