Sejak kompetisi peretasan Hack@DAC pertama pada tahun 2017, ribuan insinyur keamanan telah membantu menemukan kerentanan berbasis perangkat keras, mengembangkan metode mitigasi, dan melakukan analisis akar penyebab masalah yang ditemukan.
Intel awalnya memutuskan untuk menyelenggarakan kompetisi ini, yang menarik para profesional keamanan dari akademisi dan mitra industri di seluruh dunia, untuk meningkatkan kesadaran tentang kerentanan berbasis perangkat keras dan untuk mempromosikan kebutuhan akan lebih banyak alat pendeteksi, kata Arun Kanuparti, seorang insinyur utama dan peneliti keamanan ofensif. di Intel. Tujuan lain di balik Hack@DAC, kompetisi capture-the-flag, dan hackathonsis lainnya adalah untuk menarik perhatian para perancang chip, untuk memotivasi mereka merancang silikon dengan lebih aman, katanya.
“Hanya ada sedikit kesadaran mengenai kelemahan keamanan perangkat keras secara umum,” kata Kanuparti, yang berbicara tentang pembelajaran Intel selama bertahun-tahun menjalankan Hack@DAC pada konferensi Black Hat Asia baru-baru ini di Singapura. “Dan kami berpikir, bagaimana kami bisa meningkatkan kesadaran ini di kalangan komunitas riset keamanan?”
“Jika Anda melihat perangkat lunak, ada banyak alat untuk keamanan, baik berupa perangkat lunak atau firmware, namun jika Anda melihat perangkat keras, sebenarnya hanya ada sedikit EDA atau alat otomasi desain elektronik,” kata Kanuparthi.
Acara-acara seperti ini efektif untuk menyatukan orang-orang untuk menemukan kerentanan dan berbagi pengetahuan. CTFs adalah metode yang sudah mapan untuk mengajarkan dan mempelajari keterampilan baru dan praktik terbaik. Intel juga percaya bahwa penting untuk memberi siswa “pengalaman tentang bagaimana rasanya menjadi peneliti keamanan di sebuah perusahaan desain,” kata Kanuparti.
Intel kini menerima entri untuk Hack@DAC 2024, yang akan berlangsung pada bulan Juni di San Francisco.
Mengatasi Masalah Sulit
Ketika Intel pertama kali menyelenggarakan Hack@DAC, tidak ada desain standar atau platform sumber terbuka untuk menemukan atau berbagi informasi tentang kerentanan perangkat keras, kata Hareesh Khattri, insinyur utama untuk penelitian keamanan ofensif di Intel. Hal ini telah berubah dengan kolaborasi Intel dengan Texas A&M University dan Technical University of Darmstadt di Jerman. Para profesor dan mahasiswa mengambil proyek sumber terbuka dan memasukkan kerentanan perangkat keras yang ada untuk membuat kerangka kerja umum untuk mendeteksi kerentanan tersebut dan kerentanan baru.
“Dan sekarang banyak makalah penelitian keamanan perangkat keras juga mulai mengutip karya ini,” kata Khattri.
Pada tahun 2020, Intel bergabung dengan produsen semikonduktor lain untuk menyelaraskan diri dengan MITRE Enumerasi Kelemahan Umum (CWE) tim, yang mencantumkan dan mengklasifikasikan potensi kerentanan dalam perangkat lunak, perangkat keras, dan firmware agar lebih fokus pada perangkat keras. Hal ini merupakan upaya untuk mengatasi kesenjangan, karena MITRE hanya mempertahankan jenis kelemahan perangkat lunak, dan CWE gagal mengatasi analisis penyebab utama kerentanan perangkat keras, kenang Kanuparthi.
“Jika masalah perangkat keras teridentifikasi, [CWE] akan ditandai dengan semacam [peringatan umum yang mengatakan] ada masalah atau sistem tidak berfungsi seperti yang diharapkan,” kata Kanupartili. “Tetapi sekarang ada pandangan desain untuk perangkat keras yang dapat Anda akar penyebabnya bahwa inilah masalahnya. Dan hal ini sebagian besar merupakan hasil dari beberapa pekerjaan yang telah kami lakukan yang mengarah pada serangan peretasan dan pembuatan CWE hybrid.”
Ketika produsen semikonduktor mempercepat fokus mereka dalam menambahkan desain yang dapat mendukung kemampuan AI baru, peneliti keamanan berupaya mengidentifikasi kelemahan lebih dekat lagi pada desain perangkat keras, tambah Khattri. Hal ini telah mempercepat minat terhadap upaya baru seperti yang disumbangkan Google Proyek OpenTitan, desain referensi sumber terbuka dan pedoman integrasi untuk mengamankan chip RoT root of trust.
Upaya di balik Hack@DAC dan kerja sama Intel dengan MITER di CWE telah menghasilkan peralatan yang lebih baik, kata Khattri. Misalnya, penyedia alat penilaian kerentanan perangkat keras Klaim Cycuity (yang menggunakan OpenTitan sebagai tolok ukur bagaimana alatnya mengukur CWE). Radix-nya sekarang dapat mengidentifikasi 80% kelemahan perangkat keras yang diketahui dalam database CWE.
“Kami telah melihat banyak kemajuan dalam bidang ini dibandingkan saat kami memulainya,” kata Khattri. “Sekarang, banyak komunitas riset keamanan yang fokus pada upaya mengidentifikasi kelemahan yang lebih dekat dengan desain perangkat keras.”
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/endpoint-security/intel-harnesses-hackathons-to-tackle-hardware-vulnerabilities
