آسیب پذیری هایی که از اواسط سال 2018 خبر ساز شده و امنیت پردازنده های AMD، Intel و حتی ARM را زیر سوال برده است، تا کنون ادامه دارد. ظاهرا پای اینتل در این میان بیش از شرکت های دیگر در میان بوده و دانشگاه های سراسر جهان این فرصت را غنیمت شمرده و با کار بر روی پردازنده های AMD و Intel، قصد دارند تا با کشف آسیب پذیری های جدید، نام خود را در جهان مطرح کنند.
کار به رشوه و قرارداد NDA کشیده است
محققان امنیتی سایبری در دانشگاه آمستردام Vrije Universiteit، ادعا می کنند که Intel در پی کشف یک حفره امنیتی جدید در پردازنده های این شرکت، درصدد پرداخت رشوه برآمده است. این ادعایی است که احتمالا با واکنش جدی اینتل روبرو شده و باید دید که ابعاد این خبر تا کجا پیش خواهد رفت. داستان از آنجایی آغاز می شود که محققان سایبری دانشگاه VU در هلند، یک آسیب پذیری MDS جدید را کشف کرده و سپس آن را به اینتل گزارش داده اند.
به ادعای این محققان اینتل در ابتدا پیشنهاد یک قرارداد به ارزش 40 هزار دلار آمریکا را به آنها داده و سپس مبلغ این قرارداد به 80 هزار دلار تغییر پیدا کرد. اینتل قصد داشته است تا با بستن یک قرارداد NDA، جلوی انتشار عمومی آن را گرفته و بدون سر و صدا به رفع آن بپردازد. اما ظاهرا این محققان پرداخت این مبلغ و همکاری در قرارداد NDA را قبول نکرده و این خبر را رسانه ای کرده اند.
اینتل در پی کشف آسیب پذیری های اخیر، یک برنامه ویژه را آغاز کرده است که طی آن آسیب پذیری ها را شناسایی کرده و محققان امنیتی Intel به کار بر روی آنها بپردازند؛ البته این پروژه به مسکوت ماندن محققان خواهد انجامید چرا که اینتل معتقد است که با افشای آسیب پذیری های فوق، برخی از خرابکاران فرصت حمله از طریق حفره های پیدا شده را در اختیار خواهند داشت. البته این ایده تا حدودی درست است چرا که تا کنون از بسیاری از حفره های امنیتی، هیچ حمله ای صورت نگرفته و با افشای آن، فرصت در اختیار خرابکاران قرار خواهد گرفت.
میبینی تروخدا تو amd همه کارکناش نماز میخونن بصیرت دارن از نفوذ جلوگیری میکنن هر چی بدی تو دنیاست ریشش بعد از چند تا کشور به اینتل بر میگرده
:-)):-))
ببین دیگه کار به کجا کشیده که اینتل هم آره
درود بر شما،
خیر. بنده هم چند منبع رو مطالعه کردم و واکنش های متفاوتی رو دیدم. برنامه کسب جایزه اینتل به گونه ای هستش که اگر شخص، موسسه یا هر دانشگاهی که آسیب پذیری جدیدی رو کشف کند، باید با اینتل یک قرارداد NDA امضا کنند که طی اون داده های یافت شده تنها در اختیار محققین اینتل قرار بگیره برای جلوگیری از افشای اطلاعات و عمومی شدن راه های حمله.
Cybersecurity researchers at the Vrije Universiteit Amsterdam, also known as VU Amsterdam, allege that Intel tried to bribe them to suppress knowledge of the latest processor security vulnerability RIDL (rouge in-flight data load), which the company made public on May 14.
در واقع محققان هلندی VU به این خاطر جایزه رو رد کردند که اجازه پیدا کنند این اقدام رو به صورت مستقیم گزارش کنند و در واقع همه متوجه بشوند. اینتل هم طی چند نوبت ظاهرا مقدار جایزه رو افزایش داده. البته من در همه منابع حداکثر 80 هزار دلار دیدم.
Intel’s security vulnerability bounty program is shrouded in CYA agreements designed to minimize Intel’s losses from the discovery of a new vulnerability. Under its terms, once a discoverer accepts the bounty reward, they enter into a NDA (non-disclosure agreement) with Intel, to not disclose their findings or communicate in the regard with any other person or entity than with certain authorized people at Intel. With public knowledge withheld, Intel can work on mitigation and patches against the vulnerability. Intel argues that information of vulnerabilities becoming public before it’s had a chance to address them would give the bad guys time to design and spread malware that exploits the vulnerability. This is an argument the people at VU weren’t willing to buy, and thus Intel is forced to disclose RIDL even as microcode updates, software updates, and patched hardware are only beginning to come out.
این هم لینک یک منبع دیگر:
https://hackernews.blog/intel-accused-of-trying-to-bribe-researchers-who-discovered-the-ridl-vulnerability/
خوب دیگه کم کم داریم به آخرای کار اینتل نزدیک میشیم.
اینا به کنار میگن اینتل دیروز داشته روزه خواری میکرده=))=))=))=))=))=))=))=))=))=))
تا جایی که بنده دنبال کردم، مسأله رشوه نبوده. طبق برنامه شکار باگ اینتل و جایزه ای که برای اون در نظر میگیره، جایزه متناسب با خطرناک بودن باگه. اینتل معتقد بوده باگ خطرناک نیست و برای اون مبلغ ۴۰,۰۰۰ دلار در نظر میگیره و ۸۰,۰۰۰ هم هدیه. اما محققین مبلغ اضافی رو به نفع انعکاس درست شدت خطر باگ نپذیرفتن و تهدید به انصراف از دریافت جایزه کردن، که در نهایت اینتل مبلغ رو به ۱۰۰,۰۰۰ دلار تغییر داد. هر چند محققین همچنان در مورد شدت خطر با اینتل موافق نیستن.
منبع:
https://www.wired.com/story/intel-mds-attack-speculative-execution-buffer/
دزدی
حقه بازی
کلاهبرداری
مخفی کاری
رشوه دهی
و…
:l:smiley0