Desde a primeira competição de hackers Hack@DAC em 2017, milhares de engenheiros de segurança ajudaram a descobrir vulnerabilidades baseadas em hardware, desenvolver métodos de mitigação e realizar análises de causa raiz dos problemas encontrados.
A Intel decidiu inicialmente organizar a competição, que atrai profissionais de segurança da academia e parceiros da indústria de todo o mundo, para aumentar a conscientização sobre vulnerabilidades baseadas em hardware e promover a necessidade de mais ferramentas de detecção, diz Arun Kanuparthi, engenheiro principal e pesquisador de segurança ofensiva. na Intel. Outro objetivo por trás do Hack@DAC, das competições capture-the-flag e de outros hackathons é chamar a atenção dos projetistas de chips, para motivá-los a projetar silício com mais segurança, diz ele.
“Há muito pouca consciência das fraquezas de segurança de hardware em geral”, diz Kanuparthi, que falou sobre as lições que a Intel aprendeu durante anos administrando o Hack@DAC na recente conferência Black Hat Asia em Cingapura. “E pensamos, realmente, como podemos conscientizar a comunidade de pesquisa em segurança?”
“Se você olhar para o software, há muitas ferramentas de segurança, com software ou firmware, mas quando você olha para o hardware, há apenas um punhado de EDA ou ferramentas de automação de design eletrônico”, diz Kanuparthi.
Esses tipos de eventos são eficazes para reunir as pessoas para encontrar vulnerabilidades e compartilhar seus conhecimentos. Os CTFs são métodos estabelecidos para ensinar e aprender novas competências e melhores práticas. A Intel também acredita que é importante proporcionar aos alunos “uma experiência de como é ser um pesquisador de segurança em uma empresa de design”, diz Kanuparthi.
A Intel agora está aceitando inscrições para o Hack@DAC 2024, que acontecerá em junho em São Francisco.
Enfrentando problemas difíceis
Quando a Intel organizou o Hack@DAC pela primeira vez, não havia um design padrão ou uma plataforma de código aberto para descobrir ou compartilhar informações sobre vulnerabilidades de hardware, diz Hareesh Khattri, engenheiro-chefe de pesquisa de segurança ofensiva da Intel. Isso mudou com a colaboração da Intel com a Texas A&M University e a Technical University of Darmstadt, na Alemanha. Os professores e alunos pegaram projetos de código aberto e inseriram vulnerabilidades de hardware existentes para criar uma estrutura comum para detectá-las e outras novas.
“E agora muitos artigos de pesquisa sobre segurança de hardware também começaram a citar esse trabalho”, diz Khattri.
Em 2020, a Intel juntou-se a outros fabricantes de semicondutores no alinhamento com o MITRE Enumeração de fraquezas comuns (CWE) equipe, que lista e classifica vulnerabilidades potenciais em software, hardware e firmware para trazer mais foco ao hardware. Foi uma tentativa de preencher uma lacuna, uma vez que o MITRE mantinha apenas tipos de fraquezas de software, e o CWE não conseguia abordar análises de causa raiz de vulnerabilidades de hardware, lembra Kanuparthi.
“Se um problema de hardware fosse identificado, [o CWE] seria marcado com algum tipo genérico de [alerta que dizia] que há um problema ou que o sistema não funciona conforme o esperado”, diz Kanuparthi. “Mas agora existe uma visão de design para hardware que pode ser a causa raiz de que esse é especificamente o problema. E isso tem sido em grande parte o resultado de parte do trabalho que temos feito que levou ao ataque de hackers e à criação do CWE híbrido.”
À medida que os fabricantes de semicondutores aceleram o seu foco na adição de designs que possam suportar novas capacidades de IA, os investigadores de segurança procuram identificar pontos fracos ainda mais próximos do design de hardware, acrescenta Khattri. Isso acelerou o interesse em novos esforços, como o projeto contribuído pelo Google Projeto OpenTitan, um projeto de referência de código aberto e diretrizes de integração para proteger chips RoT raiz de confiança.
Os esforços por trás do Hack@DAC e do trabalho da Intel com MITRE no CWE levaram a ferramentas aprimoradas, diz Khattri. Por exemplo, fornecedor de ferramenta de avaliação de vulnerabilidade de hardware Cycuity (que usa OpenTitan como referência para como sua ferramenta mede CWEs) afirma seu Radix agora pode identificar 80% dos pontos fracos de hardware conhecidos no banco de dados CWE.
“Vimos muito progresso neste espaço em comparação com quando o iniciamos”, diz Khattri. “Agora, o foco de muitas comunidades de pesquisa em segurança tem sido tentar identificar pontos fracos que estejam mais próximos do design do hardware.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/endpoint-security/intel-harnesses-hackathons-to-tackle-hardware-vulnerabilities
