AMD: fino a 30.000 dollari di ricompensa se trovate vulnerabilità nei suoi prodotti

AMD: fino a 30.000 dollari di ricompensa se trovate vulnerabilità nei suoi prodotti

AMD è pronta a pagare fino a 30.000 dollari se si rintracciano vulnerabilità altamente critiche nell'hardware. Il nuovo programma di bug bounty è aperto a un ampio pubblico di ricercatori di sicurezza e copre anche firmware e software.

di pubblicata il , alle 09:31 nel canale Processori
AMD
 

AMD vuole mettere alla prova e contestualmente migliorare la sicurezza dei suoi prodotti e per questo ha lanciato un nuovo programma di Bug Bounty.

In partnership con Intigriti, un provider di servizi di sicurezza crowdsource, il nuovo programma consente a ricercatori, hacker etici e altri esperti di segnalare bug nell'hardware, nel firmware o nel software di AMD tramite la piattaforma Intigriti e di ricevere una ricompensa in denaro per i problemi scovati. AMD aveva già avviato un'iniziativa privata di bug bounty in passato, ma era riservata a pochi eletti.

Le ricompense offerte da AMD sono legate alla gravità del bug e alla categoria di prodotto e si può arrivare a ottenere fino a 30.000 dollari se si rintracciano vulnerabilità altamente critiche nell'hardware. Si scende a un tetto di 15.000 dollari per falle nel firmware e 10.000 dollari nel software.

Bug di sicurezzaLowMediumHighCritical
Hardware $2.000 $5.000 $15.000 $30.000
Firmware $1.000 $3.000 $9.000 $15.000
Software $500 $1.500 $5.000 $10.000

I programmi di bug bounty sono fondamentali per molte aziende tecnologiche in quanto le aiutano a mantenere sicuri i propri prodotti, specie quelli usati da milioni di persone e quindi nelle mire di malintenzionati.

A partire da casi ormai storici di falle riscontrate nelle CPU, come Spectre e Meltdown, aziende come Intel e AMD hanno istituito apparati interni più strutturati e iniziative per sostenere ricercatori esterni volte a scoprire falle nei prodotti e risolverle prima che possano essere rintracciate e usate da malintenzionati, con danni seri sia in termini economici che d'immagine.

10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
ninja75031 Maggio 2024, 10:33 #1
beh bug nel software partecipo anche io

dipende cosa intendono per bug
LL131 Maggio 2024, 10:36 #2
francamente mi sembrano premi parecchio risicati alla luce del dispendio di energie che presumibilmente è richiesto specie per i vizi di natura hardware..
Perseverance31 Maggio 2024, 12:29 #3
Originariamente inviato da: LL1
francamente mi sembrano premi parecchio risicati alla luce del dispendio di energie che presumibilmente è richiesto specie per i vizi di natura hardware..


Fare queste "lotterie" per le aziende è una pratica comune xkè esternalizzano a basso costo quello che dovrebbero fare internamente stipendiando parecchia gente. Alla fine gli costa meno fare così rispetto ad impiegare un team dedicato.

Preso per buono il fatto che l'esecuzione speculativa nelle CPU moderne porterà a nuove falle, non è tanto sapere se ci saranno ma quando verranno scoperte (e quando poi rese pubbliche) ed in ultimo la gravità.

Avranno fatto due conti. Evidentemente la criticità delle falle, la quantità ed il loro sforzo per scoprirle, da loro calcolati, sono tali da non giustificare il dispendio di risorse per istituire un team di ricerca interno dedicato, preferendo la "lotteria". Gli costa meno. Molto meno.
supertigrotto31 Maggio 2024, 12:55 #4
Non saranno milioni ma almeno ti pagano
sisko21431 Maggio 2024, 15:40 #5
Solo le aziende morte di fame fanno stà roba.
Preferiscono usare questi mezzucci, sperando che il genio di turno gli risolva i problemi, per un tozzo di bane ed un bicchiere di vino, piuttosto che mettere in piedi un dipartimento e relativa gente, che faccia questo lavoro a tempo pieno.
zancle31 Maggio 2024, 16:44 #6
Originariamente inviato da: Perseverance
Fare queste "lotterie" per le aziende è una pratica comune xkè esternalizzano a basso costo quello che dovrebbero fare internamente stipendiando parecchia gente. Alla fine gli costa meno fare così rispetto ad impiegare un team dedicato.

Preso per buono il fatto che l'esecuzione speculativa nelle CPU moderne porterà a nuove falle, non è tanto sapere se ci saranno ma quando verranno scoperte (e quando poi rese pubbliche) ed in ultimo la gravità.

Avranno fatto due conti. Evidentemente la criticità delle falle, la quantità ed il loro sforzo per scoprirle, da loro calcolati, sono tali da non giustificare il dispendio di risorse per istituire un team di ricerca interno dedicato, preferendo la "lotteria". Gli costa meno. Molto meno.


una cosa non esclude l'altra. non è che loro smettono di ricercare i bug.
LL131 Maggio 2024, 16:51 #7
Originariamente inviato da: Perseverance
Fare queste "lotterie" per le aziende è una pratica comune xkè esternalizzano a basso costo...

questo è chiaro ma il punto è il cash:
x quella cifra non merita neppure mettersi lì a spremere le meningi sottraendo energie a "competizioni" più remunerative (che esistono e sono 1 ballino)...
LL131 Maggio 2024, 17:02 #8
es (al volo, potrei essere impreciso):

Intel Bug Bounty Program (Awards range from $500 up to $100,000...)

Microsoft (up to $250,000 Hyper-V/ Up to $100,000 USD plus up to an additional $100,000 Mitigation Bypass and Bounty for Defense etc)

Tesla: fino a 100000 (e una loro macchina in regalo per i vincitori delle varie competizioni, dunque non una Panda o 500 della FIAT)


In sintesi:
ho una laurea/capacità e di solito un lavoro ben pagato, chi me lo fa fare di concentrarmi su un qualcosa che è arduo in partenza per quanto sia bravo se il gioco non vale la candela? (30000 sono infatti quasi un'inezia per queste figure il cui tempo vale decisamente di più


Questi sono dei pezzenti dai..
Antonio F2.31 Maggio 2024, 18:04 #9
Solo un pirla puo' trovare una vulnerabilita' e comunicarla per 30k.
ci puoi fare molto di piu' "vendendola" sul mercato nero.
LL131 Maggio 2024, 18:10 #10
Originariamente inviato da: Antonio F2.
Solo un pirla puo' trovare una vulnerabilita' e comunicarla per 30k..


ma poi di queste portate come il firmware o, addirittura, la logica della CPU.

Già preparare un "laboratorio" con (almeno) 2/3 macchine diverse "mosse" dal solito fornitore di CPU, dai su...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^