Trí thông minh dữ liệu tạo

An ninh mạng

Intel khai thác Hackathons để giải quyết các lỗ hổng phần cứng

Tái bản bởi Plato
Tái bản bởi Plato

Ngày:

Lượt xem: 0

Kể từ cuộc thi hack Hack@DAC đầu tiên vào năm 2017, hàng nghìn kỹ sư bảo mật đã giúp phát hiện các lỗ hổng dựa trên phần cứng, phát triển các phương pháp giảm thiểu và thực hiện phân tích nguyên nhân gốc rễ của các vấn đề được tìm thấy.

Arun Kanuparthi, kỹ sư chính và nhà nghiên cứu bảo mật tấn công, cho biết ban đầu Intel quyết định tổ chức cuộc thi thu hút các chuyên gia bảo mật từ các học viện và đối tác công nghiệp trên khắp thế giới nhằm nâng cao nhận thức về các lỗ hổng dựa trên phần cứng và thúc đẩy nhu cầu về nhiều công cụ phát hiện hơn. tại Intel. Ông cho biết, một mục tiêu khác đằng sau Hack@DAC là các cuộc thi bắt cờ và các cuộc thi hackathon khác nhằm thu hút sự chú ý của các nhà thiết kế chip, thúc đẩy họ thiết kế silicon an toàn hơn.

Kanuparthi, người đã nói về những bài học mà Intel đã học được từ nhiều năm vận hành Hack@DAC tại hội nghị Black Hat Asia gần đây ở Singapore, cho biết: “Có rất ít nhận thức về các điểm yếu bảo mật phần cứng nói chung”. “Và thực sự chúng tôi đã nghĩ làm cách nào để có được nhận thức này trong cộng đồng nghiên cứu bảo mật?”

Kanuparthi nói: “Nếu bạn nhìn vào phần mềm, có rất nhiều công cụ bảo mật, bằng phần mềm hoặc chương trình cơ sở, nhưng khi bạn nhìn vào phần cứng, thực sự chỉ có một số ít công cụ tự động hóa thiết kế điện tử hoặc EDA”.

Những loại sự kiện này có hiệu quả trong việc gắn kết mọi người lại với nhau để tìm ra những lỗ hổng và chia sẻ kiến ​​thức của họ. CTF là các phương pháp được thiết lập để dạy và học các kỹ năng mới cũng như các phương pháp thực hành tốt nhất. Intel cũng tin rằng điều quan trọng là mang lại cho sinh viên “trải nghiệm về cảm giác trở thành một nhà nghiên cứu bảo mật tại một công ty thiết kế,” Kanuparthi nói.

Intel hiện đang chấp nhận các bài dự thi Hack@DAC 2024, sẽ diễn ra vào tháng XNUMX tại San Francisco.

Giải quyết các vấn đề khó khăn

Hareesh Khattri, kỹ sư chính về nghiên cứu bảo mật tấn công tại Intel, cho biết khi Intel lần đầu tổ chức Hack@DAC, không có thiết kế tiêu chuẩn hoặc nền tảng nguồn mở nào để khám phá hoặc chia sẻ thông tin về các lỗ hổng phần cứng. Điều đó đã thay đổi với sự hợp tác của Intel với Đại học Texas A&M và Đại học Kỹ thuật Darmstadt ở Đức. Các giáo sư và sinh viên đã thực hiện các dự án nguồn mở và chèn các lỗ hổng phần cứng hiện có để tạo ra một khuôn khổ chung để phát hiện chúng và các lỗ hổng mới.

Khattri nói: “Và hiện nay rất nhiều tài liệu nghiên cứu về bảo mật phần cứng cũng đã bắt đầu trích dẫn công trình này.

Vào năm 2020, Intel đã cùng các nhà sản xuất chất bán dẫn khác tuân thủ chiến lược của MITER Bảng liệt kê điểm yếu chung (CWE) nhóm liệt kê và phân loại các lỗ hổng tiềm ẩn trong phần mềm, phần cứng và chương trình cơ sở để tập trung hơn vào phần cứng. Kanuparthi nhớ lại, đó là một nỗ lực nhằm giải quyết lỗ hổng, vì MITER chỉ duy trì các loại điểm yếu của phần mềm và CWE không thể giải quyết các phân tích nguyên nhân gốc rễ của các lỗ hổng phần cứng.

Kanuparthi cho biết: “Nếu xác định được sự cố phần cứng, [CWE] sẽ được gắn thẻ với một số loại [cảnh báo chung] có vấn đề hoặc hệ thống không hoạt động như mong đợi”. “Nhưng hiện nay có một chế độ xem thiết kế cho phần cứng mà bạn có thể tìm ra nguyên nhân cụ thể rằng đây chính là vấn đề. Và đó phần lớn là kết quả của một số công việc mà chúng tôi đang thực hiện dẫn đến tấn công hack và tạo ra CWE lai.”

Khattri cho biết thêm, khi các nhà sản xuất chất bán dẫn tăng tốc tập trung vào việc bổ sung các thiết kế có thể hỗ trợ các khả năng AI mới, các nhà nghiên cứu bảo mật đang tìm cách xác định các điểm yếu gần hơn với thiết kế phần cứng. Điều đó đã thúc đẩy sự quan tâm đến những nỗ lực mới như dự án do Google đóng góp Dự án OpenTitan, một hướng dẫn tích hợp và thiết kế tham chiếu nguồn mở để bảo mật các chip RoT gốc tin cậy.

Khattri cho biết những nỗ lực đằng sau Hack@DAC và hoạt động của Intel với MITER trên CWE đã dẫn đến cải tiến công cụ. Ví dụ: nhà cung cấp công cụ đánh giá lỗ hổng phần cứng Tuyên bố của Cycuity (sử dụng OpenTitan làm điểm chuẩn cho cách công cụ của nó đo lường CWE) Radix của nó hiện có thể xác định 80% điểm yếu phần cứng đã biết trong cơ sở dữ liệu CWE.

Khattri nói: “Chúng tôi đã thấy rất nhiều tiến triển trong lĩnh vực này so với khi chúng tôi bắt đầu nó”. “Giờ đây, trọng tâm của nhiều cộng đồng nghiên cứu bảo mật đã hướng tới việc cố gắng xác định những điểm yếu gần với thiết kế phần cứng hơn.”

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.