Depuis le premier concours de piratage Hack@DAC en 2017, des milliers d'ingénieurs en sécurité ont aidé à découvrir des vulnérabilités matérielles, à développer des méthodes d'atténuation et à effectuer une analyse des causes profondes des problèmes détectés.
Intel a initialement décidé d'organiser ce concours, qui attire des professionnels de la sécurité issus du monde universitaire et de partenaires industriels du monde entier, pour sensibiliser aux vulnérabilités matérielles et promouvoir le besoin de davantage d'outils de détection, explique Arun Kanuparthi, ingénieur principal et chercheur en sécurité offensive. chez Intel. Un autre objectif derrière Hack@DAC, les concours de capture du drapeau et autres hackathons, est d'attirer l'attention des concepteurs de puces et de les motiver à concevoir du silicium de manière plus sécurisée, dit-il.
"En général, on est très peu conscient des faiblesses de la sécurité matérielle", déclare Kanuparthi, qui a parlé des leçons qu'Intel a tirées des années d'exécution de Hack@DAC lors de la récente conférence Black Hat Asia à Singapour. « Et nous avons vraiment réfléchi à la manière dont pouvons-nous sensibiliser la communauté des chercheurs en sécurité ?
"Si vous regardez les logiciels, il existe de nombreux outils de sécurité, avec des logiciels ou des micrologiciels, mais lorsque vous regardez le matériel, il n'existe en réalité qu'une poignée d'outils EDA ou d'automatisation de la conception électronique", explique Kanuparthi.
Ce type d’événements est efficace pour rassembler les gens afin de découvrir les vulnérabilités et de partager leurs connaissances. Les CTF sont des méthodes établies pour enseigner et acquérir de nouvelles compétences et meilleures pratiques. Intel estime également qu'il est important de donner aux étudiants « une expérience de ce que l'on ressent en tant que chercheur en sécurité dans une entreprise de conception », explique Kanuparthi.
Intel accepte désormais les inscriptions pour le Hack@DAC 2024, qui aura lieu en juin à San Francisco.
S'attaquer à des problèmes difficiles
Lorsque Intel a organisé Hack@DAC pour la première fois, il n'existait pas de conception standard ni de plate-forme open source pour découvrir ou partager des informations sur les vulnérabilités matérielles, explique Hareesh Khattri, ingénieur principal pour la recherche en sécurité offensive chez Intel. Cela a changé avec la collaboration d'Intel avec la Texas A&M University et l'Université technique de Darmstadt en Allemagne. Les professeurs et les étudiants ont pris des projets open source et ont inséré les vulnérabilités matérielles existantes pour créer un cadre commun permettant de les détecter ainsi que de nouvelles.
« Et maintenant, de nombreux articles de recherche sur la sécurité matérielle ont également commencé à citer ces travaux », explique Khattri.
En 2020, Intel a rejoint d'autres fabricants de semi-conducteurs pour s'aligner sur les recommandations de MITRE. Énumération commune des faiblesses (CWE) équipe, qui répertorie et classe les vulnérabilités potentielles des logiciels, du matériel et des micrologiciels afin de se concentrer davantage sur le matériel. Il s'agissait d'une tentative de combler une lacune, puisque MITRE ne conservait que les types de faiblesses logicielles et que CWE n'avait pas réussi à analyser les causes profondes des vulnérabilités matérielles, se souvient Kanuparthi.
« Si un problème matériel était identifié, [le CWE] serait étiqueté avec une sorte d'alerte générique fourre-tout indiquant] qu'il y avait un problème ou que le système ne fonctionnait pas comme prévu », explique Kanuparthi. «Mais il existe désormais une vue de conception pour le matériel qui permet de déterminer que c'est précisément le problème. Et c’est en grande partie le résultat d’une partie du travail que nous avons effectué qui a conduit à une attaque de piratage et à la création du CWE hybride.
Alors que les fabricants de semi-conducteurs s’intéressent de plus en plus à l’ajout de conceptions capables de prendre en charge de nouvelles capacités d’IA, les chercheurs en sécurité cherchent à identifier les faiblesses encore plus proches de la conception matérielle, ajoute Khattri. Cela a accéléré l'intérêt pour de nouveaux efforts tels que le projet Google Projet OpenTitan, une conception de référence open source et des directives d'intégration pour sécuriser les puces RoT racine de confiance.
Les efforts derrière Hack@DAC et le travail d'Intel avec MITRE sur CWE ont conduit à des outils améliorés, explique Khattri. Par exemple, fournisseur d'outils d'évaluation des vulnérabilités matérielles Cycuity (qui utilise OpenTitan comme référence pour la façon dont son outil mesure les CWE) affirme son Radix peut désormais identifier 80 % des faiblesses matérielles connues dans la base de données CWE.
« Nous avons constaté de nombreux progrès dans ce domaine par rapport à nos débuts », déclare Khattri. "Aujourd'hui, de nombreuses communautés de recherche en sécurité se concentrent sur l'identification des faiblesses les plus proches de la conception du matériel."
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/endpoint-security/intel-harnesses-hackathons-to-tackle-hardware-vulnerabilities
