2017년 첫 번째 Hack@DAC 해킹 대회 이후 수천 명의 보안 엔지니어가 하드웨어 기반 취약점을 발견하고, 완화 방법을 개발하고, 발견된 문제의 근본 원인 분석을 수행하는 데 도움을 주었습니다.
수석 엔지니어이자 공격적인 보안 연구원인 Arun Kanuparthi는 Intel이 처음에 하드웨어 기반 취약점에 대한 인식을 높이고 더 많은 탐지 도구의 필요성을 홍보하기 위해 전 세계 학계 및 업계 파트너의 보안 전문가를 모으는 대회를 조직하기로 결정했다고 말했습니다. 인텔에서. Hack@DAC의 또 다른 목표는 플래그 잡기 대회 및 기타 해커톤 대회로, 칩 설계자의 관심을 끌고 실리콘을 보다 안전하게 설계하도록 동기를 부여하는 것이라고 그는 말합니다.
최근 싱가포르에서 열린 Black Hat Asia 컨퍼런스에서 Intel이 수년간 Hack@DAC를 운영하면서 배운 교훈에 대해 이야기한 Kanuparthi는 "일반적으로 하드웨어 보안 약점에 대한 인식이 거의 없습니다."라고 말합니다. "그리고 우리는 어떻게 보안 연구 커뮤니티에서 이러한 인식을 얻을 수 있을까?"라고 생각했습니다.
Kanuparthi는 "소프트웨어를 보면 소프트웨어나 펌웨어 등 보안을 위한 도구가 많이 있지만 하드웨어를 보면 EDA 또는 전자 설계 자동화 도구는 실제로 소수에 불과합니다."라고 말합니다.
이러한 종류의 이벤트는 사람들이 함께 모여 취약점을 찾고 지식을 공유하는 데 효과적입니다. CTF는 새로운 기술과 모범 사례를 가르치고 배우기 위한 확립된 방법입니다. Intel은 또한 학생들에게 "디자인 회사에서 보안 연구원으로 일하는 것이 어떤 느낌인지 경험"을 제공하는 것이 중요하다고 Kanuparthi는 말합니다.
인텔은 현재 2024월 샌프란시스코에서 열리는 XNUMX Hack@DAC 참가 신청을 받고 있습니다.
어려운 문제 해결
Intel이 처음 Hack@DAC를 조직했을 때는 하드웨어 취약성에 대한 정보를 발견하거나 공유하기 위한 표준 설계나 오픈 소스 플랫폼이 없었다고 Intel의 공격 보안 연구 수석 엔지니어인 Hareesh Khattri는 말합니다. Intel이 Texas A&M University 및 독일 다름슈타트 기술 대학교와 협력하면서 상황이 바뀌었습니다. 교수와 학생들은 오픈 소스 프로젝트를 가져와 기존 하드웨어 취약점을 삽입하여 이러한 취약점과 새로운 취약점을 탐지하기 위한 공통 프레임워크를 만들었습니다.
Khattri는 "이제 많은 하드웨어 보안 연구 논문에서도 이 작업을 인용하기 시작했습니다."라고 말합니다.
2020년에 인텔은 MITRE와 협력하여 다른 반도체 제조업체에 합류했습니다. 공통 약점 열거(CWE) 소프트웨어, 하드웨어, 펌웨어의 잠재적인 취약점을 나열하고 분류하여 하드웨어에 더 집중하는 팀입니다. Kanuparthi는 MITRE가 소프트웨어 약점 유형만 유지하고 CWE가 하드웨어 취약점의 근본 원인 분석을 해결하지 못했기 때문에 격차를 해소하려는 시도였다고 회상합니다.
Kanuparthi는 "하드웨어 문제가 확인되면 [CWE]에는 문제가 있거나 시스템이 예상대로 작동하지 않는다는 일반적인 포괄적인 [경고] 태그가 지정됩니다."라고 말합니다. “그러나 이제는 이것이 특히 문제라는 것을 근본 원인으로 삼을 수 있는 하드웨어 설계 관점이 있습니다. 그리고 이는 주로 해킹 공격과 하이브리드 CWE 생성으로 이어진 우리가 수행한 일부 작업의 결과였습니다.”
반도체 제조업체들이 새로운 AI 기능을 지원할 수 있는 설계를 추가하는 데 초점을 맞추면서 보안 연구원들은 하드웨어 설계에 더욱 가까운 약점을 식별하기 위해 노력하고 있다고 Khattri는 덧붙였습니다. 이로 인해 Google이 기여하는 것과 같은 새로운 노력에 대한 관심이 가속화되었습니다. 오픈타이탄 프로젝트, RoT 칩 루트 보안을 위한 오픈 소스 참조 설계 및 통합 지침입니다.
Hack@DAC와 Intel이 CWE에서 MITRE와 협력한 노력 덕분에 툴링이 향상되었다고 Khattri는 말합니다. 예: 하드웨어 취약성 평가 도구 제공업체 Cycuity(OpenTitan을 도구가 CWE를 측정하는 방법에 대한 벤치마크로 사용)는 주장합니다. Radix는 이제 CWE 데이터베이스에서 알려진 하드웨어 약점의 80%를 식별할 수 있습니다.
Khattri는 “우리는 이 분야를 시작했을 때와 비교하여 많은 발전을 이루었습니다.”라고 말합니다. "이제 많은 보안 연구 커뮤니티의 초점은 하드웨어 설계에 더 가까운 약점을 식별하는 데 맞춰졌습니다."
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/endpoint-security/intel-harnesses-hackathons-to-tackle-hardware-vulnerabilities
