از زمان اولین مسابقه هک Hack@DAC در سال 2017، هزاران مهندس امنیتی به کشف آسیبپذیریهای مبتنی بر سختافزار، توسعه روشهای کاهش و انجام تجزیه و تحلیل ریشهای مشکلات یافت شده کمک کردهاند.
آرون کانوپارتی، مهندس اصلی و محقق امنیت تهاجمی، میگوید: اینتل در ابتدا تصمیم گرفت این رقابت را که متخصصان امنیتی را از دانشگاهها و شرکای صنعتی سراسر جهان جذب میکند، سازماندهی کند تا آگاهی در مورد آسیبپذیریهای مبتنی بر سختافزار را افزایش دهد و نیاز به ابزارهای تشخیص بیشتر را ترویج کند. در اینتل او میگوید که یکی دیگر از اهداف پشت Hack@DAC، مسابقات ضبط پرچم و سایر هکاتونها جلب توجه طراحان تراشه، ایجاد انگیزه در طراحی سیلیکون ایمنتر، او میگوید.
Kanuparthi، که در مورد درسهایی که اینتل از سالها اجرای Hack@DAC در کنفرانس اخیر Black Hat Asia در سنگاپور آموخته، میگوید: «آگاهی بسیار کمی از ضعفهای امنیتی سختافزار به طور کلی وجود دارد. "و ما فکر کردیم، واقعاً چگونه می توانیم این آگاهی را در میان جامعه تحقیقاتی امنیتی به دست آوریم؟"
کانوپارتی میگوید: «اگر به نرمافزار نگاه کنید، ابزارهای زیادی برای امنیت، با نرمافزار یا سیستمافزار وجود دارد، اما وقتی به سختافزار نگاه میکنید، واقعاً تعداد انگشت شماری ابزار اتوماسیون طراحی الکترونیکی یا EDA وجود دارد.
این نوع رویدادها برای گرد هم آوردن افراد برای یافتن آسیبپذیریها و به اشتراک گذاشتن دانش خود مؤثر است. CTF ها روش هایی برای آموزش و یادگیری مهارت های جدید و بهترین شیوه ها هستند. کانوپارتی میگوید اینتل همچنین بر این باور است که مهم است که به دانشآموزان "تجربی از احساسی که به عنوان یک محقق امنیتی در یک شرکت طراحی دارند" ارائه دهیم.
اینتل اکنون برای Hack@DAC 2024 که در ماه ژوئن در سانفرانسیسکو برگزار میشود، میپذیرد.
مقابله با مشکلات سخت
Hareesh Khattri، مهندس اصلی تحقیقات امنیتی تهاجمی در اینتل، میگوید: زمانی که اینتل برای اولین بار Hack@DAC را سازماندهی کرد، هیچ طراحی استاندارد یا پلتفرم منبع باز برای کشف یا اشتراکگذاری اطلاعات در مورد آسیبپذیریهای سختافزاری وجود نداشت. این با همکاری اینتل با دانشگاه تگزاس A&M و دانشگاه فنی دارمشتات در آلمان تغییر کرده است. اساتید و دانشجویان پروژههای منبع باز را انتخاب کردند و آسیبپذیریهای سختافزاری موجود را برای ایجاد یک چارچوب مشترک برای شناسایی آنها و آسیبپذیریهای جدید وارد کردند.
ختری میگوید: «و اکنون بسیاری از مقالات تحقیقاتی امنیتی سختافزار نیز شروع به ذکر این اثر کردهاند.
در سال 2020، اینتل به سایر تولیدکنندگان نیمه هادی پیوست تا با MITRE هماهنگ شود. شمارش ضعف مشترک (CWE) تیمی که آسیبپذیریهای بالقوه در نرمافزار، سختافزار و میانافزار را فهرست و طبقهبندی میکند تا تمرکز بیشتری روی سختافزار داشته باشد. Kanuparthi به یاد می آورد که این تلاشی برای رفع یک شکاف بود، زیرا MITER فقط انواع ضعف های نرم افزاری را حفظ می کرد و CWE نتوانست به تجزیه و تحلیل های ریشه ای آسیب پذیری های سخت افزاری رسیدگی کند.
کانوپارتی میگوید: «اگر مشکل سختافزاری شناسایی میشد، [CWE] با نوعی [هشدار که میگفت] مشکلی وجود دارد یا سیستم آنطور که انتظار میرفت کار نمیکند، برچسبگذاری میشود. اما اکنون یک نمای طراحی برای سختافزار وجود دارد که میتوانید علت آن را ریشهیابی کنید که این مشکل به طور خاص است. و این تا حد زیادی خروجی برخی از کارهایی بوده است که ما انجام دادهایم که منجر به حمله هک و ایجاد CWE ترکیبی شد.
خاتری می افزاید: از آنجایی که تولیدکنندگان نیمه هادی تمرکز خود را بر افزودن طرح هایی که می توانند از قابلیت های هوش مصنوعی جدید پشتیبانی کنند تسریع می کنند، محققان امنیتی به دنبال شناسایی نقاط ضعف هستند که حتی به طراحی سخت افزار نزدیک تر است. این باعث افزایش علاقه به تلاش های جدیدی مانند مشارکت گوگل شده است پروژه OpenTitanیک طراحی مرجع منبع باز و دستورالعمل های یکپارچه سازی برای ایمن سازی ریشه اعتماد تراشه های RoT.
به گفته خاتری، تلاشهای پشت سر Hack@DAC و کار اینتل با MITER در CWE منجر به بهبود ابزارها شده است. به عنوان مثال، ارائه دهنده ابزار ارزیابی آسیب پذیری سخت افزار Cycuity (که از OpenTitan به عنوان معیاری برای نحوه اندازه گیری ابزارش CWEs استفاده می کند) ادعا می کند Radix آن اکنون می تواند 80 درصد از ضعف های سخت افزاری شناخته شده در پایگاه داده CWE را شناسایی کند.
ختری میگوید: «ما پیشرفتهای زیادی را در این فضا در مقایسه با زمانی که آن را شروع کردیم، دیدهایم. اکنون، تمرکز بسیاری از جوامع تحقیقاتی امنیتی به سمت تلاش برای شناسایی نقاط ضعفی است که به طراحی سختافزار نزدیکتر است.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/endpoint-security/intel-harnesses-hackathons-to-tackle-hardware-vulnerabilities