AMD: fino a 30.000 dollari di ricompensa se trovate vulnerabilità nei suoi prodotti

AMD è pronta a pagare fino a 30.000 dollari se si rintracciano vulnerabilità altamente critiche nell'hardware. Il nuovo programma di bug bounty è aperto a un ampio pubblico di ricercatori di sicurezza e copre anche firmware e software.
di Manolo De Agostini pubblicata il 31 Maggio 2024, alle 09:31 nel canale ProcessoriAMD
AMD vuole mettere alla prova e contestualmente migliorare la sicurezza dei suoi prodotti e per questo ha lanciato un nuovo programma di Bug Bounty.
In partnership con Intigriti, un provider di servizi di sicurezza crowdsource, il nuovo programma consente a ricercatori, hacker etici e altri esperti di segnalare bug nell'hardware, nel firmware o nel software di AMD tramite la piattaforma Intigriti e di ricevere una ricompensa in denaro per i problemi scovati. AMD aveva già avviato un'iniziativa privata di bug bounty in passato, ma era riservata a pochi eletti.
Le ricompense offerte da AMD sono legate alla gravità del bug e alla categoria di prodotto e si può arrivare a ottenere fino a 30.000 dollari se si rintracciano vulnerabilità altamente critiche nell'hardware. Si scende a un tetto di 15.000 dollari per falle nel firmware e 10.000 dollari nel software.
Bug di sicurezza | Low | Medium | High | Critical |
---|---|---|---|---|
Hardware | $2.000 | $5.000 | $15.000 | $30.000 |
Firmware | $1.000 | $3.000 | $9.000 | $15.000 |
Software | $500 | $1.500 | $5.000 | $10.000 |
I programmi di bug bounty sono fondamentali per molte aziende tecnologiche in quanto le aiutano a mantenere sicuri i propri prodotti, specie quelli usati da milioni di persone e quindi nelle mire di malintenzionati.
A partire da casi ormai storici di falle riscontrate nelle CPU, come Spectre e Meltdown, aziende come Intel e AMD hanno istituito apparati interni più strutturati e iniziative per sostenere ricercatori esterni volte a scoprire falle nei prodotti e risolverle prima che possano essere rintracciate e usate da malintenzionati, con danni seri sia in termini economici che d'immagine.
10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infodipende cosa intendono per bug
Fare queste "lotterie" per le aziende è una pratica comune xkè esternalizzano a basso costo quello che dovrebbero fare internamente stipendiando parecchia gente. Alla fine gli costa meno fare così rispetto ad impiegare un team dedicato.
Preso per buono il fatto che l'esecuzione speculativa nelle CPU moderne porterà a nuove falle, non è tanto sapere se ci saranno ma quando verranno scoperte (e quando poi rese pubbliche) ed in ultimo la gravità.
Avranno fatto due conti. Evidentemente la criticità delle falle, la quantità ed il loro sforzo per scoprirle, da loro calcolati, sono tali da non giustificare il dispendio di risorse per istituire un team di ricerca interno dedicato, preferendo la "lotteria". Gli costa meno. Molto meno.
Preferiscono usare questi mezzucci, sperando che il genio di turno gli risolva i problemi, per un tozzo di bane ed un bicchiere di vino, piuttosto che mettere in piedi un dipartimento e relativa gente, che faccia questo lavoro a tempo pieno.
Preso per buono il fatto che l'esecuzione speculativa nelle CPU moderne porterà a nuove falle, non è tanto sapere se ci saranno ma quando verranno scoperte (e quando poi rese pubbliche) ed in ultimo la gravità.
Avranno fatto due conti. Evidentemente la criticità delle falle, la quantità ed il loro sforzo per scoprirle, da loro calcolati, sono tali da non giustificare il dispendio di risorse per istituire un team di ricerca interno dedicato, preferendo la "lotteria". Gli costa meno. Molto meno.
una cosa non esclude l'altra. non è che loro smettono di ricercare i bug.
questo è chiaro ma il punto è il cash:
x quella cifra non merita neppure mettersi lì a spremere le meningi sottraendo energie a "competizioni" più remunerative (che esistono e sono 1 ballino)...
Intel Bug Bounty Program (Awards range from $500 up to $100,000...)
Microsoft (up to $250,000 Hyper-V/ Up to $100,000 USD plus up to an additional $100,000 Mitigation Bypass and Bounty for Defense etc)
Tesla: fino a 100000 (e una loro macchina in regalo per i vincitori delle varie competizioni, dunque non una Panda o 500 della FIAT)
In sintesi:
ho una laurea/capacità e di solito un lavoro ben pagato, chi me lo fa fare di concentrarmi su un qualcosa che è arduo in partenza per quanto sia bravo se il gioco non vale la candela? (30000 sono infatti quasi un'inezia per queste figure il cui tempo vale decisamente di più
Questi sono dei pezzenti dai..
ci puoi fare molto di piu' "vendendola" sul mercato nero.
ma poi di queste portate come il firmware o, addirittura, la logica della CPU.
Già preparare un "laboratorio" con (almeno) 2/3 macchine diverse "mosse" dal solito fornitore di CPU, dai su...
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".