自从公司成立以来,英特尔一直在开发新的软件和硬件,但它没有维护一个中央设施来对其旧硬件进行专门的安全测试。据《华尔街日报》报道,这一切在 2018 年发生了变化,因为该公司开始收集尽可能多的“遗留”硬件,然后开始将其存放在哥斯达黎加的一个秘密地点,原因很简单:这样他们就可以在旧系统上测试新软件和硬件,以确保没有安全问题。
例如,假设英特尔发布了一款新软件或驱动程序,这种情况经常发生。大约在 2013 年,在 Haswell CPU 上运行它会不会有任何安全问题?还是 Sandy Bridge,在 Windows 7 系统上?这些是公司意识到需要测试的场景类型,因为客户可能需要很多年才能升级到最新版本的 CPU 或平台,而且公司必须确保其最新的软件不允许出现安全漏洞部署在遗留系统上。此外,没有人愿意在“野外”或企业环境中测试用户系统上的安全漏洞,在这些环境中数据丢失可能是一个问题。这是最好在实验室完成的工作类型。
根据英特尔的说法,计划于 2018 年首次开始,从而允许创建长期保留实验室,该实验室于 2019 年下半年投入运营。 在其初期阶段,其旧硬件的库存非常缺乏公司不得不求助于 eBay 寻找一些零件,例如 Sandy Bridge CPU。然而,经过扩建后,这个 14,000 平方英尺的仓库现在拥有 3,000 多件物品,包括软件和硬件,可以追溯到大约 10 年前。在该设施中工作的工程师能够为英特尔员工组装特定的硬件和软件组合,以便在世界任何地方进行远程测试。英特尔指出,它收到的许多测试请求都是为了响应参与公司漏洞赏金计划的外部研究人员提交的缺陷。手头有一张疑似缺陷的罚单,
这一举措可以追溯到 2018 年年中,这并不奇怪。Meltdown 和 Spectre 于 2018 年初披露,是当年经常讨论的话题。在过去的四年里,大量的注意力集中在投机执行侧信道攻击上。在 Meltdown 和 Spectre 之后,英特尔努力组装这个综合安全研究设施的部分原因似乎是需要更强大的测试。当 Meltdown 和 Spectre 首次披露时,该公司发布了适用于各种硬件的补丁,并且可能已决定将这些努力编入更正式的程序中。我们已就此与英特尔联系,并会在收到回复后更新此故事。
更新: 据英特尔发言人称,Spectre 和 Meltdown 促成了英特尔内部认为这是一个重要项目的看法。它们不是唯一的因素,一些为长期保留实验室做出贡献的安全举措可以追溯到十年或更长时间。
该期刊报道中的一个有趣轶事是,英特尔似乎要求其所有现任和前任员工提供他们可能拥有的任何硬件和知识/文档来协助该项目。这听起来也是一个繁忙的工作场所,一位经理表示他们每月收到 1,000 个请求,以创建用于远程安全测试的特定硬件和软件配置,而且他们每周还会收到 50 台新设备。
这个故事最引人入胜的角度是英特尔不会透露设施的位置,因为英特尔指出,进入建筑物的入口受到严格控制,安全摄像头也会 24/7 全天候监视过时的硬件。这有点让人想起侏罗纪公园的场景,“沙桥大院”周围有 20 英尺高的电气围栏。更进一步地类比,我们想象一位不愿透露姓名的工程师在记录中说:“它是 100% 安全的。这项技术永远逃不掉!”
撇开所有笑话不谈,对于像我们这样的软件和硬件修补匠来说,这听起来像是一份梦寐以求的工作。一个温暖且负担得起的场所,听起来很重要的安全徽章和挂绳,以及全天制造计算机。我们在哪里报名?