Даже самые лучшие процессоры могут иметь дыры в безопасности. Чтобы было проще их найти, Intel объявила об улучшении существующей программы вознаграждения за обнаружение ошибок, которая вознаграждает хакеров, выявивших и сообщивших об уязвимостях в аппаратной и программной части. «Project Circuit Breaker», как он был назван, будет работать как серия автономных, ограниченных по времени событий для «конкретных новых платформ и технологий». Участники получат возможность пройти обучение и оборудование, предоставленные корпорацией Intel, и смогут работать вместе с инженерами Intel над обнаружением недостатков оборудования и программного обеспечения.
Кэти Ноубл, директор группы реагирования на инциденты, связанные с безопасностью продуктов (PSIRT) и Bug Bounty, сказала:
«Проект Circuit Breaker возможен благодаря нашему передовому исследовательскому сообществу. Эта программа является частью наших усилий, направленных на то, чтобы встретиться с исследователями безопасности и создать значимое сотрудничество. Мы инвестируем в программы вознаграждения за обнаружение ошибок и проводим их, потому что они привлекают новые взгляды на борьбу с возникающими угрозами безопасности, а Project Circuit Breaker — это следующий шаг в сотрудничестве с исследователями для укрепления практики обеспечения безопасности в отрасли, особенно когда речь идет об оборудовании. Мы с нетерпением ждем возможности увидеть, как будет развиваться программа».
Усилия Intel по повышению безопасности своих продуктов резко активизировались в 2018 году после кризиса Spectre/Meltdown — компания даже разработала собственный Форт-Нокс для традиционных и фактических исследований в области безопасности, построив секретный объект в Коста-Рике.
Учитывая, что в 2021 году программа вознаграждения за обнаружение ошибок Intel была ответственна за 97 из 113 уязвимостей, о которых сообщалось извне, влияние исследований в области безопасности на уровне сообщества кажется все более важной частью духа компании. Внешние исследователи, не являющиеся частью команды Intel, скорее всего, способны творчески подходить к проблемам безопасности (и их эксплойтам). Это также позволяет Intel задействовать коллективный мозг специалистов по кибербезопасности, которые тратят много времени и сил на выявление этих уязвимостей.
«Впервые исследователи в области безопасности могут напрямую работать с командами Intel по продуктам и безопасности посредством хакерских событий в реальном времени, которые могут включать в себя множители вознаграждения вплоть до 4», — говорится на основном сайте Circuit Breaker. «Соревнования «Захват флага» и другие тренинги помогут подготовить исследователей к задачам, которые могут включать доступ к бета-версии программного обеспечения и/или аппаратного обеспечения и другие уникальные возможности».
Проект Circuit Breaker уже работает. Еще в декабре было запущено первое ограниченное по времени мероприятие «Кемпинг с тиграми» с командой из 20 внешних исследователей безопасности. Это событие по поиску ошибок завершится к маю. Участники получат выплаты в зависимости от серьезности выявленных уязвимостей на трех уровнях вознаграждения. Можно сказать, что данный формат оказался достаточно успешным и теперь Intel имеет большие возможности по обеспечению безопасности своей продукции.