《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > DARPA將硬件漏洞賞金平臺(tái)開(kāi)源

DARPA將硬件漏洞賞金平臺(tái)開(kāi)源

2021-07-10
來(lái)源:網(wǎng)空閑話(huà)
關(guān)鍵詞: 白帽黑客 硬件漏洞

美國(guó)國(guó)防高級(jí)研究計(jì)劃局(DARPA)已將其針對(duì)白帽黑客硬件漏洞披露平臺(tái)開(kāi)源,。

微信圖片_20210710170011.jpg

  這個(gè)名為“發(fā)現(xiàn)漏洞以防止篡改”(Finding exploit to prevent tamper, FETT)的平臺(tái)于去年首次推出,,該機(jī)構(gòu)希望轉(zhuǎn)向開(kāi)源結(jié)構(gòu)將有助于有道德的黑客發(fā)現(xiàn)芯片設(shè)計(jì)中的缺陷,并幫助創(chuàng)建新的處理器原型。

  據(jù)2020年6月cyberscoop的報(bào)道,,DARPA一直在與工程師們合作,在計(jì)算機(jī)芯片被部署到武器系統(tǒng)或其他關(guān)鍵技術(shù)之前加強(qiáng)其安全性,。也就是2020年6月,,DARPA啟動(dòng)了漏洞賞金計(jì)劃,將硬件移交給精英黑客,,他們可以從發(fā)現(xiàn)的漏洞中獲得高達(dá)25,000美元的報(bào)酬,。其目標(biāo)是對(duì)硬件進(jìn)行一系列攻擊,使其基礎(chǔ)在生產(chǎn)前更安全,。雖然軟件漏洞賞金在網(wǎng)絡(luò)安全行業(yè)無(wú)處不在,,但針對(duì)硬件漏洞的賞金卻比較少。為了找到這些專(zhuān)業(yè)技能,,美國(guó)國(guó)防部高級(jí)研究計(jì)劃局(DARPA)請(qǐng)來(lái)了硅谷的滲透測(cè)試公司Synack,,該公司將進(jìn)行測(cè)試,以淘汰能力較差的黑客,。那些通過(guò)篩選的人,,連同經(jīng)過(guò)審查的Synack公司自己的黑客,參加漏洞獎(jiǎng)勵(lì)計(jì)劃,。

  DARPA的第一個(gè)漏洞賞金平臺(tái),。

微信圖片_20210710170014.jpg

  該系統(tǒng)將硬件和固件虛擬化,讓黑客在芯片設(shè)計(jì)生產(chǎn)和安裝到代理系統(tǒng)之前就能全面訪(fǎng)問(wèn)它們,。

  美國(guó)國(guó)防部高級(jí)研究計(jì)劃局(DARPA)項(xiàng)目經(jīng)理Keith Rebello說(shuō):“我們認(rèn)為,,將這項(xiàng)研究提供給更廣泛的[研發(fā)]社區(qū),用于測(cè)試和評(píng)估處理器設(shè)計(jì),,以確保其健壯和安全是有價(jià)值的,。”“我們的目標(biāo)是讓研究人員和開(kāi)發(fā)人員利用SSITH(System Security Integrated Through Hardware and Firmware)安全評(píng)估框架,,幫助創(chuàng)建一個(gè)通用的安全基準(zhǔn),,可以用來(lái)比較安全的處理器設(shè)計(jì)?!?/p>

  SSITH簡(jiǎn)介

  通過(guò)硬件和固件的系統(tǒng)安全集成 (SSITH) 計(jì)劃旨在保護(hù)電子系統(tǒng)免受常見(jiàn)的漏洞利用手段,。SSITH 不是依靠補(bǔ)丁來(lái)確保軟件應(yīng)用程序的安全,而是旨在從源頭上解決底層硬件漏洞。該計(jì)劃正在開(kāi)發(fā)硬件安全架構(gòu)和相關(guān)的設(shè)計(jì)工具,,以保護(hù)系統(tǒng)免受通過(guò)軟件利用的各類(lèi)漏洞的侵害,,而不僅僅是特定的漏洞實(shí)例。SSITH 專(zhuān)注于由 MITRE 通用弱點(diǎn)枚舉規(guī)范 (CWE) 和 NIST 確定的常見(jiàn)硬件弱點(diǎn)類(lèi)別,,包括緩沖區(qū)錯(cuò)誤,;信息泄露;資源管理,;數(shù)字錯(cuò)誤,;注射;權(quán)限,、特權(quán)和訪(fǎng)問(wèn)控制,;硬件/片上系統(tǒng)實(shí)現(xiàn)錯(cuò)誤。研究人員正在探索許多不同的方法,,這些方法遠(yuǎn)遠(yuǎn)超出了修補(bǔ),。這些包括使用元數(shù)據(jù)標(biāo)記來(lái)檢測(cè)未經(jīng)授權(quán)的系統(tǒng)訪(fǎng)問(wèn);利用上下文感知管道來(lái)確定指令的意圖,;采用形式化方法對(duì)集成電路系統(tǒng)進(jìn)行推理,,保證安全特性的準(zhǔn)確性。

微信圖片_20210710170017.jpg

  DARPA與滲透測(cè)試公司Synack合作,,提供并審查黑客,,并與軟件公司Galois合作構(gòu)建該平臺(tái)。DARPA稱(chēng)這個(gè)平臺(tái)是“同類(lèi)的第一個(gè)基礎(chǔ)設(shè)施”,,它可以讓未來(lái)處理器技術(shù)的分析幾乎眾包,,并在芯片最終確定之前找到安全漏洞,以此打破所謂的“補(bǔ)丁-祈禱”循環(huán),。

  該程序希望道德黑客在惡意對(duì)手之前發(fā)現(xiàn)的漏洞類(lèi)型,,是通過(guò)針對(duì)芯片中電子系統(tǒng)的軟件利用的常見(jiàn)硬件漏洞類(lèi)別。

  “這不是為了修補(bǔ)漏洞,,而是為了防止漏洞被利用,,”Synack的首席技術(shù)官馬克·庫(kù)爾在該項(xiàng)目啟動(dòng)時(shí)告訴CyberScoop。

  DARPA還為SSITH程序使用的基準(zhǔn)RISC-V處理器設(shè)計(jì)采用了開(kāi)源結(jié)構(gòu),。這些設(shè)計(jì)為開(kāi)發(fā)人員提供了一個(gè)出發(fā)點(diǎn),,并允許原型在生產(chǎn)之前在虛擬環(huán)境中進(jìn)行測(cè)試,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話(huà):010-82306118,;郵箱:[email protected],。