美国防高级研究项目局发起其首个有偿漏洞挖掘竞赛

美国防高级研究项目局（DARPA）近期宣布，将与美国防部国防数字署（DDS）及众包安全公司Synack合作，发起其首个针对硬件安全架构的有偿漏洞挖掘竞赛“寻找漏洞以防范损害（Finding Exploits to Thwart Tampering，FETT）”，以在其硬件安全架构项目“通过硬件及固件实现的系统安全集成（System Security Integration Through Hardware and Firmware，SSITH）”所产出的安全体系中寻找漏洞。

 “通过硬件及固件实现的系统安全集成”项目于2017年启动，其目标是运用硬件安全架构及工具，保护常见类别硬件免受攻击者利用软件实现的漏洞利用攻击，从而保护电子系统。参与该项目的团队：SRI International公司、剑桥大学、麻省理工学院、密歇根大学和洛克希德马丁公司的技术方案均将“向硬件提供软件攻击手段信息，让硬件成为自我防御的积极参与者”作为设计的核心理念，这些团队目前正在与计算机科学研发机构Galois合作，将各自的技术方案移植到云中，以进行后续的评估验证。

“寻找漏洞以防范损害”竞赛预计在今年7月至9月举办。希望参加该竞赛的安全研究人员需要先通过Synack组织的CTF比赛，而后他们将挑战目标系统及软件的安全措施：目标系统运行在Amazon Web Services EC2 F1云上，每个系统以现场可编程门电路（FPGA）芯片为基础，包含已进行针对性修改、容纳SSITH技术方案的RISC-V处理器；软件部分则包含医疗记录数据库系统、针对PC的密码验证系统、基于Web的投票者注册系统等若干经过SSITH加固的应用程序，参赛者们的任务就是设计可穿透SSITH硬件安全保护措施的漏洞利用手段。

国防高级研究项目局负责“通过硬件及固件实现的系统安全集成”和“寻找漏洞以防范损害”两个项目的主管基斯.里贝罗（Keith Rebello）指出，由于硬件安全架构具有相当复杂性，因此该机构将向有兴趣理解、探索和评估SSITH保护措施的安全研究人员提供充分的时间。