از زمان اولین مسابقه هک Hack@DAC در سال 2017، هزاران مهندس امنیتی به کشف آسیب‌پذیری‌های مبتنی بر سخت‌افزار، توسعه روش‌های کاهش و انجام تجزیه و تحلیل ریشه‌ای مشکلات یافت شده کمک کرده‌اند.

آرون کانوپارتی، مهندس اصلی و محقق امنیت تهاجمی، می‌گوید: اینتل در ابتدا تصمیم گرفت این رقابت را که متخصصان امنیتی را از دانشگاه‌ها و شرکای صنعتی سراسر جهان جذب می‌کند، سازمان‌دهی کند تا آگاهی در مورد آسیب‌پذیری‌های مبتنی بر سخت‌افزار را افزایش دهد و نیاز به ابزارهای تشخیص بیشتر را ترویج کند. در اینتل او می‌گوید که یکی دیگر از اهداف پشت Hack@DAC، مسابقات ضبط پرچم و سایر هکاتون‌ها جلب توجه طراحان تراشه، ایجاد انگیزه در طراحی سیلیکون ایمن‌تر، او می‌گوید.

Kanuparthi، که در مورد درس‌هایی که اینتل از سال‌ها اجرای Hack@DAC در کنفرانس اخیر Black Hat Asia در سنگاپور آموخته، می‌گوید: «آگاهی بسیار کمی از ضعف‌های امنیتی سخت‌افزار به طور کلی وجود دارد. "و ما فکر کردیم، واقعاً چگونه می توانیم این آگاهی را در میان جامعه تحقیقاتی امنیتی به دست آوریم؟"

کانوپارتی می‌گوید: «اگر به نرم‌افزار نگاه کنید، ابزارهای زیادی برای امنیت، با نرم‌افزار یا سیستم‌افزار وجود دارد، اما وقتی به سخت‌افزار نگاه می‌کنید، واقعاً تعداد انگشت شماری ابزار اتوماسیون طراحی الکترونیکی یا EDA وجود دارد.

این نوع رویدادها برای گرد هم آوردن افراد برای یافتن آسیب‌پذیری‌ها و به اشتراک گذاشتن دانش خود مؤثر است. CTF ها روش هایی برای آموزش و یادگیری مهارت های جدید و بهترین شیوه ها هستند. کانوپارتی می‌گوید اینتل همچنین بر این باور است که مهم است که به دانش‌آموزان "تجربی از احساسی که به عنوان یک محقق امنیتی در یک شرکت طراحی دارند" ارائه دهیم.

اینتل اکنون برای Hack@DAC 2024 که در ماه ژوئن در سانفرانسیسکو برگزار می‌شود، می‌پذیرد.

مقابله با مشکلات سخت

Hareesh Khattri، مهندس اصلی تحقیقات امنیتی تهاجمی در اینتل، می‌گوید: زمانی که اینتل برای اولین بار Hack@DAC را سازمان‌دهی کرد، هیچ طراحی استاندارد یا پلت‌فرم منبع باز برای کشف یا اشتراک‌گذاری اطلاعات در مورد آسیب‌پذیری‌های سخت‌افزاری وجود نداشت. این با همکاری اینتل با دانشگاه تگزاس A&M و دانشگاه فنی دارمشتات در آلمان تغییر کرده است. اساتید و دانشجویان پروژه‌های منبع باز را انتخاب کردند و آسیب‌پذیری‌های سخت‌افزاری موجود را برای ایجاد یک چارچوب مشترک برای شناسایی آن‌ها و آسیب‌پذیری‌های جدید وارد کردند.

ختری می‌گوید: «و اکنون بسیاری از مقالات تحقیقاتی امنیتی سخت‌افزار نیز شروع به ذکر این اثر کرده‌اند.

در سال 2020، اینتل به سایر تولیدکنندگان نیمه هادی پیوست تا با MITRE هماهنگ شود. شمارش ضعف مشترک (CWE) تیمی که آسیب‌پذیری‌های بالقوه در نرم‌افزار، سخت‌افزار و میان‌افزار را فهرست و طبقه‌بندی می‌کند تا تمرکز بیشتری روی سخت‌افزار داشته باشد. Kanuparthi به یاد می آورد که این تلاشی برای رفع یک شکاف بود، زیرا MITER فقط انواع ضعف های نرم افزاری را حفظ می کرد و CWE نتوانست به تجزیه و تحلیل های ریشه ای آسیب پذیری های سخت افزاری رسیدگی کند.

کانوپارتی می‌گوید: «اگر مشکل سخت‌افزاری شناسایی می‌شد، [CWE] با نوعی [هشدار که می‌گفت] مشکلی وجود دارد یا سیستم آن‌طور که انتظار می‌رفت کار نمی‌کند، برچسب‌گذاری می‌شود. اما اکنون یک نمای طراحی برای سخت‌افزار وجود دارد که می‌توانید علت آن را ریشه‌یابی کنید که این مشکل به طور خاص است. و این تا حد زیادی خروجی برخی از کارهایی بوده است که ما انجام داده‌ایم که منجر به حمله هک و ایجاد CWE ترکیبی شد.

خاتری می افزاید: از آنجایی که تولیدکنندگان نیمه هادی تمرکز خود را بر افزودن طرح هایی که می توانند از قابلیت های هوش مصنوعی جدید پشتیبانی کنند تسریع می کنند، محققان امنیتی به دنبال شناسایی نقاط ضعف هستند که حتی به طراحی سخت افزار نزدیک تر است. این باعث افزایش علاقه به تلاش های جدیدی مانند مشارکت گوگل شده است پروژه OpenTitanیک طراحی مرجع منبع باز و دستورالعمل های یکپارچه سازی برای ایمن سازی ریشه اعتماد تراشه های RoT.

به گفته خاتری، تلاش‌های پشت سر Hack@DAC و کار اینتل با MITER در CWE منجر به بهبود ابزارها شده است. به عنوان مثال، ارائه دهنده ابزار ارزیابی آسیب پذیری سخت افزار Cycuity (که از OpenTitan به عنوان معیاری برای نحوه اندازه گیری ابزارش CWEs استفاده می کند) ادعا می کند Radix آن اکنون می تواند 80 درصد از ضعف های سخت افزاری شناخته شده در پایگاه داده CWE را شناسایی کند.

ختری می‌گوید: «ما پیشرفت‌های زیادی را در این فضا در مقایسه با زمانی که آن را شروع کردیم، دیده‌ایم. اکنون، تمرکز بسیاری از جوامع تحقیقاتی امنیتی به سمت تلاش برای شناسایی نقاط ضعفی است که به طراحی سخت‌افزار نزدیک‌تر است.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/endpoint-security/intel-harnesses-hackathons-to-tackle-hardware-vulnerabilities