Noticias
Intel ofrece ahora hasta 250.000 dólares por vulnerabilidad descubierta
Intel inició hace un año un programa de recompensas en HackerOne por hallar vulnerabilidades en sus productos. En aquel momento mencionamos que las vulnerabilidades de hardware podrían terminar siendo incluso más peligrosas que las de software, cosa en la que no anduvimos mal encaminados después de todo el escándalo generado por Meltdown y Spectre, los dos vectores de ataque que han terminado por mermar la imagen corporativa de Intel y han dado alas, al menos en apariencia, a la competencia en algunos sectores.
Quizá debido al mal trago pasado desde inicios de año, Intel ha decidido actualizar su programa de recompensas en HackerOne para aumentar las cuantías, ofreciendo ahora hasta 250.000 dólares a quienes hallen vulnerabilidades en algunos de sus productos. Además, también lo ha abierto a cualquier persona que utilice la plataforma de HackerOne, ya que antes estaba reservado a investigadores que recibieran una invitación. La compañía pretende con este movimiento mejorar su imagen en términos de ciberseguridad desde una perspectiva más abierta y participativa.
En el anuncio publicado en HackerOne, Intel habla de organizar una respuesta coordinada con socios y clientes ante cualquier vulnerabilidad, además de pedir a los que reporten vulnerabilidades que envíen sus informes cifrados con GnuPG o PGP con el fin de impedir que los detalles acaben expuestos antes de la publicación de una mitigación. Estos son los principales cambios introducidos en el programa de recompensas:
- Se ha cambiado el modelo de invitaciones por otro abierto a cualquier investigador en seguridad, aumentando de forma notable la cantidad de candidatos que pueden reportar vulnerabilidades.
- Ofrecer un nuevo programa centrado específicamente en las vulnerabilidades de canal lateral que durará hasta el 31 de diciembre de 2018. El premio por las divulgaciones bajo este programa sube hasta los 250.000 dólares.
- Aumento en la cuantía de las recompensas en todos los ámbitos, ofreciendo hasta 100.000 dolares en otras áreas.
Las directrices del programa por hallar vulnerabilidades en hardware, firmware y software de Intel son las siguientes:
- Se otorgará una recompensa por el primer informe de vulnerabilidad con los suficientes detalles como para permitir la reproducción de lo reportado por parte de Intel.
- Dependiendo de la naturaleza de la vulnerabilidad y la cantidad y calidad del contenido del informe, Intel recompensará con entre 500 y 250.000 dólares estadounidenses.
- El primer informe externo recibido sobre una vulnerabilidad interna conocida recibirá un máximo de 1.500 dólares como recompensa.
- Las calculadoras CVSS aprobadas que pueden ser usadas para determinar las líneas base sobre la gravedad de todas las vulnerabilidades reportadas serán la NVD CVSSv3 y la FIRST CVSSv3, a entera discreción de Intel.
- Intel reconocerá públicamente a los investigadores en seguridad en los avisos y en el Programa de Recompensas en o después del momento de la divulgación pública de la vulnerabilidad, tal y como haya sido acordado con el investigador que ha reportado la vulnerabilidad.
- Las recompensas están limitadas a un premio por vulnerabilidad de causa raíz elegible. Si una vulnerabilidad afecta a varios productos de Intel, se pagará solo por la primera instancia informada independientemente del producto. Intel, a su entera discreción, decidirá si la vulnerabilidad reportada es la primera instancia de producto informada de una vulnerabilidad de causa raíz.
Después de explicar ciertos aspectos técnicos de los cambios en el programa de recompensas, intentaremos ahora resumirlos un poco con el apoyo de dos tablas.
Por un lado, tenemos la parte permanente, mediante la cual se ofrecen recompensas de hasta 100.000 dólares por hallar vulnerabilidades en el software, el firmware y el hardware de Intel. Sin embargo, pueden aparecer aparte programas apuntando a amenazas, vulnerabilidades y tecnologías concretas.
Por otro tenemos la parte de duración limitada, la que se acaba el 31 de diciembre de 2018. Esta parte está centrada en dos vulnerabilidades de tipo canal lateral: Las de causa raíz que afectan al hardware de Intel y las que se pueden explotar vía software. La compañía espera con esto “acelerar nuevas investigaciones innovadoras y aprender sobre estos tipos de problemas de seguridad.”