Intel kasutab riistvara haavatavuste kõrvaldamiseks häkatone

Alates esimesest Hack@DAC häkkimisvõistlusest 2017. aastal on tuhanded turbeinsenerid aidanud avastada riistvarapõhiseid haavatavusi, välja töötada leevendusmeetodeid ja teostada leitud probleemide algpõhjuste analüüsi.

Intel otsustas algselt korraldada võistluse, kuhu kutsutakse kokku turbespetsialiste akadeemilistest ringkondadest ja tööstuspartneritest üle maailma, et tõsta teadlikkust riistvarapõhistest haavatavustest ja edendada vajadust rohkemate tuvastamistööriistade järele, ütles Arun Kanuparthi, peainsener ja solvav turvateadlane. Inteli juures. Ta ütleb, et Hack@DAC-i, lipu püüdmise võistluste ja muude häkatonide teine eesmärk on juhtida kiibidisainerite tähelepanu ja motiveerida neid räni turvalisemalt kujundama.

"Riistvara turvanõrkustest üldiselt ollakse väga vähe teadlikud," ütleb Kanuparthi, kes rääkis hiljutisel Black Hat Asia konverentsil Singapuris, mida Intel sai Hack@DAC-i aastaid juhtinud kogemustest. "Ja me mõtlesime tõesti, kuidas saaksime julgeolekuuuringute kogukonnas seda teadlikkust saavutada?"

"Kui vaatate tarkvara, on seal palju turvatööriistu, tarkvara või püsivara, kuid riistvara vaadates on tõesti vaid käputäis EDA või elektroonilise disaini automatiseerimise tööriistu, " ütleb Kanuparthi.

Sellised üritused on tõhusad, et tuua inimesi kokku, et leida haavatavusi ja jagada oma teadmisi. CTF-id on väljakujunenud meetodid uute oskuste ja parimate tavade õpetamiseks ja õppimiseks. Intel usub ka, et on oluline anda õpilastele „kogemus sellest, mis tunne on olla disainiettevõtte turvateadlane”, ütleb Kanuparthi.

Intel võtab nüüd vastu kandeid 2024. aasta Hack@DAC-ile, mis toimub juunis San Franciscos.

Raskete probleemide lahendamine

Kui Intel esimest korda Hack@DAC-i korraldas, polnud riistvara haavatavuste avastamiseks või teabe jagamiseks standardset disaini ega avatud lähtekoodiga platvormi, ütleb Inteli solvavate turbeuuringute peainsener Hareesh Khattri. See on muutunud Inteli koostööga Texase A&M ülikooli ja Darmstadti tehnikaülikooliga Saksamaal. Õppejõud ja üliõpilased võtsid kasutusele avatud lähtekoodiga projektid ja lisasid olemasolevaid riistvarahaavatavusi, et luua ühine raamistik nende ja uute tuvastamiseks.

"Ja nüüd on sellele tööle hakatud viitama ka paljud riistvaraturbe uurimistööd, " ütleb Khattri.

2020. aastal ühines Intel teiste pooljuhtide tootjatega MITRE-ga vastavusse viimisel. Common Weakness Enumeration (CWE) meeskond, mis loetleb ja liigitab võimalikud haavatavused tarkvaras, riistvaras ja püsivaras, et riistvarale rohkem tähelepanu pöörata. See oli katse kõrvaldada lünk, kuna MITER säilitas ainult tarkvara nõrkuse tüübid ja CWE ei suutnud riistvara haavatavuste algpõhjuste analüüsiga tegeleda, meenutab Kanuparthi.

"Kui tuvastatakse riistvaraprobleem, märgitakse [CWE] mingi üldise kõikehõlmava [hoiatusega, mis ütles], et probleem on või süsteem ei tööta ootuspäraselt, " ütleb Kanuparthi. "Kuid nüüd on riistvara jaoks kujundusvaade, mille põhjuseks võib olla see, et probleem on just see. Ja see on suures osas olnud meie tehtud töö tulemus, mis viis häkkimisrünnakuni ja hübriidse CWE loomiseni.

Kuna pooljuhtide tootjad keskenduvad üha enam disainilahenduste lisamisele, mis toetavad uusi tehisintellekti võimalusi, otsivad turvateadlased riistvaradisainile veelgi lähemal olevaid nõrkusi, lisab Khattri. See on suurendanud huvi uute jõupingutuste vastu, nagu Google'i panus OpenTitani projekt, avatud lähtekoodiga viitekujundus ja integreerimisjuhised RoT-kiipide juurte kindlustamiseks.

Khattri sõnul on Hack@DAC-i ja Inteli töö MITERiga CWE-ga tagatud jõupingutused viinud tööriistade täiustamiseni. Näiteks riistvara haavatavuse hindamise tööriista pakkuja Cycuity (mis kasutab OpenTitani võrdlusalusena, kuidas selle tööriist CWE-sid mõõdab) väidab selle Radix suudab nüüd tuvastada 80% teadaolevatest riistvara nõrkustest CWE andmebaasis.

"Oleme näinud selles ruumis palju edusamme võrreldes sellega, kui me seda alustasime, " ütleb Khattri. "Nüüd on paljud turbeuuringute kogukonnad keskendunud riistvara disainile lähemal olevate nõrkade külgede tuvastamisele."

SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
Allikas: https://www.darkreading.com/endpoint-security/intel-harnesses-hackathons-to-tackle-hardware-vulnerabilities

Generatiivne andmeluure

Intel kasutab häkatone riistvara haavatavuste kõrvaldamiseks

Raskete probleemide lahendamine

Türgi võtab tööstuse erinevate arengute keskel vastu uued krüptoalased õigusaktid, mis on vastavuses ülemaailmsete standarditega

Türgi võtab vastu globaalsed krüptostandardid: põhjalik ülevaade uutest õigusaktidest ja selle mõjust digitaalmajandusele

Uusim intelligentsus

Türgi võtab vastu uued krüptoeeskirjad, mis on kooskõlas ülemaailmsete standarditega: terviklik pilk digitaalvaluuta tulevikule riigis

Türgi võtab uutes krüptoseadustes vastu globaalsed standardid: tööstuse mõju ja investorite kaitse

Türgi võtab vastu uued krüptoeeskirjad, mis on vastavuses ülemaailmsete standarditega: põhjalik aruanne areneva digitaalvaluuta maastiku kohta

Türgi võtab uute õigusaktidega vastu globaalsed krüptostandardid: põhjalik uuendus ja kogu tööstusharu hõlmav mõju

Juhatuse segamine ja krüptomäärused: nädal muutusi finants- ja plokiahelasektoris

Juhtide segamine ja krüptoalased õigusaktid: Strateegiliste sammude ja regulatiivsete edusammude nädal rahanduses