Intel baut das hauseigene "Bug-Bounty"-Programm aus und startet das Projekt "Circuit Breaker". Damit will der US-amerikanische Halbleiterhersteller eine Truppe von Elite-Hackern rekrutieren, die Bugs in Firmware, Hypervisors, Grafikchips, Mainboard-Chipsätzen und anderen Intel-Produkten aufspüren sollen.
Vorantreiben wollen die Intel-Verantwortlichen ihr Circuit-Breaker-Vorhaben mit gezielt aufgesetzten, zeitlich begrenzten Veranstaltungen zu bestimmten neuen Plattformen und Technologien. Teilnehmerinnen und Teilnehmer sollen gezielt geschult werden und direkt mit Intel-Ingenieuren zusammenarbeiten können.
Camp mit Tiger
Die erste Veranstaltung von Project Circuit Breaker, "Camping with Tigers", läuft bereits seit Dezember 2021 mit einer Gruppe von 20 Security-Spezialisten. Im Mittelpunkt stehen dabei Systeme mit Intels Core i7-Prozessoren, Codename "Tiger Lake". Dieses erste Teilprojekt soll noch bis Mai dieses Jahres fortgesetzt werden.
Für die Hacker kann sich die Teilnahme lohnen. Intel hat ein Preisgeld auf die Entdeckung von Sicherheitslücken ausgelobt. Wie hoch der Betrag aktuell ausfällt, will der Konzern nicht verraten. Wie jedoch frühere Aktionen gezeigt haben, kann die Entdeckung eines kritischen Bugs bis zu 150.000 Dollar einbringen.
"Bug-Bounty-Programme sind ein leistungsfähiges Instrument, um die Sicherheit unserer Produkte kontinuierlich zu verbessern", sagt Tom Garrison, Vice President und General Manager of Client Security Strategy & Initiatives bei Intel. Camping with Tigers bringe Sicherheitsforscher und die eigenen Produktingenieure zusammen, um die Widerstandsfähigkeit der Intel -Core-Prozessoren der 11. Generation zu verbessern. Garrison betont den Wert einer engen Zusammenarbeit mit der Community, um Schwachstellen zu finden und bessere Sicherheitsfunktionen zu entwickeln.
Intel betreibt sein Bug-Bounty-Programm bereits seit 2018. Seitdem hat der Hersteller seine Investitionen in Security laufend erhöht. Das scheint sich auszuzahlen. Im vergangenen Jahr wurden 97 von 113 extern gefundenen Schwachstellen über das Bug-Bounty-Programm gemeldet. Zusätzlich fördert Intel Labs die Spitzenforschung im Bereich Sicherheit. Mittlerweile gebe es etliche international anerkannte Forschungsarbeiten im Rahmen des Intel Hardware Security Academic Award-Programms, hieß es.
Mehr Sicherheit in der Entwicklung
Der Prozessorbauer hat außerdem intern einen Secure Development Lifecycle (SDL) sowohl für Hardware als auch für Software eingeführt. Dieser soll dazu beitragen, eine Kultur zu schaffen, in der Sicherheit an erster Stelle steht. Entwicklerteams sollen während des gesamten Produktlebenszyklus den Security-Aspekt stärker in den Mittelpunkt stellen und mehr Verantwortung für die Sicherheit übernehmen, so die Vorgabe des Managements.
Die Intel-Verantwortlichen plädieren grundsätzlich für Offenheit und Transparenz im Umgang mit Security-Lücken. Durch eine koordinierte Offenlegung von Schwachstellen und eine intensivere Zusammenarbeit mit Forschern lasse sich die Sicherheit von Hard- und Software insgesamt verbessern.