|
美国防高级研究计划局(DARPA)正在运行一个漏洞赏金计划,目的是在通过硬件和固件进行系统安全集成(SSITH)程序的新的高级实现中查找安全漏洞。 DARPA于2017年推出了SSITH,旨在通过从源头解决潜在的硬件漏洞来帮助保护电子系统免受通用攻击。借助新的漏洞赏金计划,DARPA正在寻求在开发中强化SSITH硬件安全保护。 该程序与美国防部的国防数字服务(DDS)和众包安全平台Synack协作运行,被称为“阻止篡改漏洞(FETT)Bug Bounty” 。 与大多数专注于软件评估的漏洞赏金计划不同,FETT正在为Red Teaming开放硬件实例。参与研究人员将获得对运行在Amazon Web Services(AWS)EC2 F1云中的仿真系统的访问权限。 基于FPGA的仿真系统包括一个RISC-V处理器内核,该内核包括SSTIH开发的硬件安全保护。通过SSITH保护,可以防止利用每个模拟系统上的软件堆栈中的已知漏洞。 漏洞将基于MITER通用弱点枚举规范(CWE)和NIST(例如缓冲区错误,信息泄漏,资源管理等)确定的常见安全弱点类别,并且参与其中的安全研究人员将需要设计利用机制绕过SSITH保护。 作为FETT Bug赏金计划的一部分,研究人员将测试电子系统应用程序框架(例如病历数据库系统,个人计算机的密码验证系统以及其他一些程序)的已实施SSITH防护。 错误赏金计划中还包括一个基于Web的易受攻击的选民注册系统,SSITH实施旨在保护基础选民信息,以证明其可以帮助确保关键基础设施的安全。 “ FETT错误赏金是DARPA更传统的计划评估工作的独特体现,” DARPA计划经理SSITH和FETT的Keith Rebello说。“ FETT将向具有硬件储备工程专业知识的全球伦理研究人员社区开放SSITH的硬件安全保护,以发现潜在的漏洞,增强技术并提供清晰的公开途径。” 所有希望参加FETT的安全研究人员,逆向工程师和道德黑客都被邀请参加Capture-the-Flag(CTF)资格赛,届时那些不属于Synack Red Team(SRT)的人将拥有有机会获得加入SRT的技术评估“快速通行证”的机会-仍然需要法律验证步骤。 |
|
|
