Hardware bug bounty: взгляд снаружи и изнутри

49:35
 
Поделиться
 

Manage episode 302227116 series 2981808
Сделано Positive Hack Days и найдено благодаря Player FM и нашему сообществу. Авторские права принадлежат издателю, а не Player FM, и аудиоматериалы транслируются прямо с его сервера. Нажмите на кнопку Подписаться, чтобы следить за обновлениями через Player FM или скопируйте и вставьте ссылку на канал в другое приложение для подкастов.

Сегодня практически все крупные корпорации запустили свои программы для вознаграждения исследователи за найденные уязвимости — bug bounty. Изначально они были ориентированы на веб-уязвимости и на ошибки в ПО, но в последнее время они стали распространяться и на аппаратное обеспечение. Вознаграждения за аппаратные уязвимости составляют десятки, а иногда и сотни тысяч долларов, что часто превышает размер выплат за другие классы ошибок. Но у hardware bug bounty есть свои особенности: в отличие от ошибок в ПО, уязвимости в «железе» или прошивке иногда невозможно исправить, а период ответственного разглашения может растянуться на годы (например, как это было с известными уязвимостями в процессорах Intel). Докладчик расскажет о своем опыте участия в таких программах и подводных камнях, которые были выловлены при взаимодействии с разработчиками аппаратных платформ.

Рассказывает независимый исследователь безопасности Максим Горячий

31 эпизодов