当前,从为智能手机供电的处理器到保持物联网运转的嵌入式设备,这些电子系统已经成为人们日常生活的重要组成部分。同样的,这些系统的安全性对于美国国防部(DoD)、商业工业以及其他领域都至关重要。为了帮助保护这些系统免受常见的攻击手段,美国国防高级研究计划局(DARPA)于2017年启动了“通过硬件和固件进行系统安全集成”(SSITH)项目。SSITH项目不依赖补丁程序来确保软件应用程序的安全,而是试图从源头上解决底层硬件漏洞。DARPA召集的研究小组正在开发硬件安全体系结构和工具,以保护电子系统免受通过软件利用的常见硬件漏洞的攻击。

为了加强SSITH项目硬件开发中的安全保护,DARPA于6月8日通过官网宣布了其有史以来第一个名为“发现漏洞以阻止篡改”(FETT)的缺陷悬赏项目。FETT项目的目标是利用数以百计的合乎伦理规范的研究人员、分析师和逆向工程师深入研究开发中的硬件架构,并发现可能削弱其防御能力的潜在漏洞或缺陷。DARPA正在与国防部的国防数字服务局(DDS)、Synack(一家值得信赖的众包安全公司)合作。特别值得一提的是,FETT项目将利用Synack现有的经过审查的合乎伦理规范的研究人员社区以及人工智能(AI)和机器学习(ML)技术,以及他们建立的漏洞披露流程,执行众包安全参与。

缺陷悬赏项目通常用于评估和验证给定技术的安全性,利用金钱奖励来鼓励黑客报告技术中的潜在弱点、缺陷或漏洞。这种形式的公共红队(防务菌注:Red Teaming,DARPA、国防数字服务局和Synack公司联合组成的研究团队)允许组织或单个开发人员在公开的问题成为重大安全挑战之前解决这些问题。

据DARPA领导SSITH和FETT两个项目的项目经理基思·雷贝罗(Keith Rebello)介绍说:“FETT缺陷悬赏是DARPA更传统的项目评估工作的一个独特体现。FETT将向具有硬件储备工程专业知识的全球合乎伦理规范的研究人员群体开放SSITH的硬件安全保护,以检测潜在漏洞,加强技术,并提供明确的披露途径。

DARPA加强电子系统硬件开发中的安全保护(翻译&字幕 by 防务菌)

虽然大多数缺陷悬赏项目都专注于软件评估,但FETT项目在为红队提供硬件实例方面是独一无二的。安全研究人员将有权访问运行在Amazon Web Services(AWS)EC2 F1云中的模拟系统。每个仿真系统都是基于FPGA的,包括一个RISC-V处理器核心,经过修改后包含了在SSITH项目下开发的硬件安全保护。每个仿真系统上的软件堆栈预计都包含已知漏洞,SSITH硬件安全保护旨在防止利用这些漏洞。这些漏洞将基于MITRE公司公共漏洞枚举规范(CWE)和国家标准技术研究所(NIST)确定的常见安全漏洞类别,包括缓冲区错误、信息泄漏、资源管理、数字错误,安全研究人员将负责设计新的利用机制,绕过硬件安全保护,并通过既定的披露过程分享他们的发现。

对此,基思·雷贝罗指出:“硬件架构有很多复杂性,这就是为什么我们希望为感兴趣的研究人员提供充足的时间来理解、探索和评估SSITH安全保护机制。虽然Synack公司的大多数众包安全服务都持续两周或一年四季,但FETT预计将在2020年7月至9月运行,以便对硬件进行广泛的分析和测试。”

由SRI国际和剑桥大学、麻省理工学院(MIT)、密歇根大学和洛克希德·马丁公司的研究人员开发的SSITH硬件安全保护将可用于评估。在过去的两年里,这些研究团队探索了许多不同的设计方法,他们的技术通常包括向硬件提供更多关于软件试图做什么的信息。有了这种洞察力,硬件可以成为防御和防范意外或恶意侵犯的更积极的参与者。研究团队正与计算机科学研究与开发公司Galois密切合作,将仿真系统转换到云计算,并支持正在进行的评估工作。

为了帮助验证电子系统的普遍性及其安全性的重要性,研究人员将看到在许多电子系统应用框架中使用SSITH防御。这将包括一个医疗记录数据库系统,一个个人电脑的密码认证系统,以及一些利用SSITH保护的附加计算机软件程序。

据基思·雷贝罗介绍:“在FETT中发现的易受攻击的应用程序中,有一个基于web的选民登记系统。SSITH硬件保护技术的成功集成旨在最终保护底层选民信息不受操纵或泄露,即使在系统软件中存在漏洞的情况下也是如此。该演示验证以及其他应用系统的目标是展示SSITH技术如何帮助保护关键的基础设施,并可能防止对我们的选举过程或医疗系统等方面的信任受到侵蚀。

在FETT项目开始之前,Synack公司正在开展一个“夺旗”(Capture-the-Flag,CTF)活动,用于任何有兴趣参与SSITH防御项目的黑客、逆向工程师或网络安全爱好者。目前还不是Synack红队(SRT)成员的安全研究人员将有机会获得技术评估“快速通行证”,通过CTF活动加入SRT(仍然需要法律验证步骤)。符合技能标准的现有SRT成员将在整个参与期内获得该项目的访问权。CTF活动预计于2020年6月15日至29日举行。FETT缺陷悬赏将于2020年7月开放给技术评估“快速通行证”持有人以及经验证的SRT成员。

声明:本文来自从心推送的防务菌,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。