Helt siden den første Hack@DAC-hackingkonkurransen i 2017, har tusenvis av sikkerhetsingeniører hjulpet med å oppdage maskinvarebaserte sårbarheter, utvikle avbøtende metoder og utføre rotårsaksanalyser av problemer som er funnet.
Intel bestemte seg i utgangspunktet for å organisere konkurransen, som trekker sikkerhetseksperter fra akademia og industripartnere over hele verden, for å øke bevisstheten om maskinvarebaserte sårbarheter og for å fremme behovet for flere deteksjonsverktøy, sier Arun Kanuparthi, en hovedingeniør og offensiv sikkerhetsforsker hos Intel. Et annet mål bak Hack@DAC, capture-the-flag-konkurranser og annen hackathonsis for å trekke oppmerksomheten til brikkedesignere, for å motivere dem til å designe silisium sikrere, sier han.
"Det er veldig lite bevissthet om svakheter i maskinvaresikkerhet generelt," sier Kanuparthi, som snakket om lærdommene Intel lærte fra årene som kjørte Hack@DAC på den nylige Black Hat Asia-konferansen i Singapore. "Og vi tenkte, egentlig, hvordan kan vi få denne bevisstheten blant sikkerhetsforskningsmiljøet?"
"Hvis du ser på programvare, er det mange verktøy for sikkerhet, med programvare eller fastvare, men når du ser på maskinvare, er det egentlig bare en håndfull EDA eller elektroniske designautomatiseringsverktøy," sier Kanuparthi.
Denne typen arrangementer er effektive for å bringe mennesker sammen for å finne sårbarheter og dele kunnskapen deres. CTF-er er etablerte metoder for å lære og lære nye ferdigheter og beste praksis. Intel mener også det er viktig å gi studentene «en opplevelse av hvordan det føles å være sikkerhetsforsker i et designfirma», sier Kanuparthi.
Intel tar nå imot påmeldinger til 2024 Hack@DAC, som vil finne sted i juni i San Francisco.
Å takle vanskelige problemer
Da Intel først organiserte Hack@DAC, fantes det ingen standarddesign eller åpen kildekode-plattform for å oppdage eller dele informasjon om maskinvaresårbarheter, sier Hareesh Khattri, en hovedingeniør for offensiv sikkerhetsforskning hos Intel. Det har endret seg med Intels samarbeid med Texas A&M University og Technical University of Darmstadt i Tyskland. Professorene og studentene tok åpen kildekode-prosjekter og satte inn eksisterende maskinvaresårbarheter for å skape et felles rammeverk for å oppdage dem og nye.
"Og nå har mange artikler om maskinvaresikkerhet også begynt å sitere dette arbeidet," sier Khattri.
I 2020 sluttet Intel seg til andre halvlederprodusenter for å samkjøre med MITRE Common Weakness Enumeration (CWE) team, som lister opp og klassifiserer potensielle sårbarheter i programvare, maskinvare og fastvare for å sette mer fokus på maskinvare. Det var et forsøk på å løse et gap, siden MITER bare opprettholdt programvaresvakhetstyper, og CWE ikke klarte å adressere rotårsaksanalyser av maskinvaresårbarheter, minnes Kanuparthi.
"Hvis et maskinvareproblem ble identifisert, ville [CWE] bli merket med en generisk oppsamlingstype [varsel som sa] at det er et problem eller at systemet ikke fungerer som forventet," sier Kanuparthi. "Men nå er det en designvisning for maskinvare som du kan forårsake at dette spesifikt er problemet. Og det har i stor grad vært resultatet av noe av arbeidet vi har gjort som førte til hackangrep og etableringen av hybrid CWE.»
Ettersom halvlederprodusenter akselererer fokuset sitt på å legge til design som kan støtte nye AI-funksjoner, søker sikkerhetsforskere å identifisere svakheter enda nærmere maskinvaredesign, legger Khattri til. Det har akselerert interessen for nye tiltak som Google-bidrag OpenTitan-prosjektet, en åpen kildekode-referansedesign og retningslinjer for integrering for å sikre rot av tillit RoT-brikker.
Innsatsen bak Hack@DAC og Intels arbeid med MITER på CWE har ført til forbedret verktøy, sier Khattri. For eksempel leverandør av maskinvaresårbarhetsvurderingsverktøy Cycuity (som bruker OpenTitan som målestokk for hvordan verktøyet måler CWEs) påstander Radix kan nå identifisere 80 % av kjente maskinvaresvakheter i CWE-databasen.
"Vi har sett mye progresjon i dette området sammenlignet med da vi startet det," sier Khattri. "Nå har mange sikkerhetsforskningsmiljøers fokus gått mot å prøve å identifisere svakheter som er nærmere maskinvaredesignet."
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/endpoint-security/intel-harnesses-hackathons-to-tackle-hardware-vulnerabilities
