Intel no está atravesando un gran momento en cuestión de relaciones públicas. El descubrimiento de las vulnerabilidades Meltdown y Spectre (pero sobre todo su
atropellada respuesta a las mismas) ha causado cierto desafecto entre los consumidores, por no hablar de la situación en la que el fabricante de procesadores ha quedado de cara a sus clientes empresariales, particularmente sensibilizados con el tema de la seguridad. Por este motivo, la compañía ha decidido renovar su
programa de caza de bugs con nuevas y más jugosas recompensas.
Intel, que ya ha llevado a cabo iniciativas similares anteriormente, abrirá su nuevo proceso de búsqueda de vulnerabilidades a cualquier investigador con una
cuenta de HackerOne. La lista de productos que serán expuestos a esta auditoría de seguridad mediante
crowdsourcing es amplia y va mucho más allá de los procesadores, abarcando también chipsets, placas base, unidades SSD, tarjetas de red, FPGA y todo el software asociado, desde drivers y herramientas a firmwares.
En función de la gravedad de los bugs encontrados, las recompensas oscilarán entre los 500 y los 250.000 dólares. El programa finalizará oficialmente el 31 de diciembre de este año.
Las recompensas más modestas son aquellas con una severidad baja y que afectan al software de Intel, premiadas con 500 dólares. Esta dote sube a 1.000 dólares si afecta al firmware, más difícil de reparar, y asciende a los 2.000 dólares si hablamos de un bug que afecta directamente al hardware. La mayor recompensa corresponde a los fallos críticos en el hardware, cuyo descubrimiento tiene una recompensa de 100.000 dólares. En un cuadro aparte se computan los fallos de hardware que puedan ser explotados vía software (tal es el caso de Spectre), con premios comprendidos entre los 5.000 y los 250.000 dólares.
Los programas de búsqueda abierta de bugs han demostrado ser muy exitosos, hasta el punto de que hasta la Unión Europea los está utilizando para
verificar la seguridad del software utilizado en sus instituciones. No obstante, y como señala
Bleeping Computer, sirven de muy poco si las compañías que los utilizan para auditar sus productos no emite a tiempo las soluciones necesarias, que es lo que le sucedió a Intel cuando Spectre y Meltdown fueron
desvelados una semana antes de tiempo, a pesar de que la empresa tenía constancia de los mismos desde hacía meses.
Fuente: Intel