美国防高级研究项目局(DARPA)近期宣布,将与美国防部国防数字署(DDS)及众包安全公司Synack合作,发起其首个针对硬件安全架构的有偿漏洞挖掘竞赛“寻找漏洞以防范损害(Finding Exploits to Thwart Tampering,FETT)”,以在其硬件安全架构项目“通过硬件及固件实现的系统安全集成(System Security Integration Through Hardware and Firmware,SSITH)”所产出的安全体系中寻找漏洞。 “通过硬件及固件实现的系统安全集成”项目于2017年启动,其目标是运用硬件安全架构及工具,保护常见类别硬件免受攻击者利用软件实现的漏洞利用攻击,从而保护电子系统。参与该项目的团队:SRI International公司、剑桥大学、麻省理工学院、密歇根大学和洛克希德马丁公司的技术方案均将“向硬件提供软件攻击手段信息,让硬件成为自我防御的积极参与者”作为设计的核心理念,这些团队目前正在与计算机科学研发机构Galois合作,将各自的技术方案移植到云中,以进行后续的评估验证。 “寻找漏洞以防范损害”竞赛预计在今年7月至9月举办。希望参加该竞赛的安全研究人员需要先通过Synack组织的CTF比赛,而后他们将挑战目标系统及软件的安全措施:目标系统运行在Amazon Web Services EC2 F1云上,每个系统以现场可编程门电路(FPGA)芯片为基础,包含已进行针对性修改、容纳SSITH技术方案的RISC-V处理器;软件部分则包含医疗记录数据库系统、针对PC的密码验证系统、基于Web的投票者注册系统等若干经过SSITH加固的应用程序,参赛者们的任务就是设计可穿透SSITH硬件安全保护措施的漏洞利用手段。 国防高级研究项目局负责“通过硬件及固件实现的系统安全集成”和“寻找漏洞以防范损害”两个项目的主管基斯.里贝罗(Keith Rebello)指出,由于硬件安全架构具有相当复杂性,因此该机构将向有兴趣理解、探索和评估SSITH保护措施的安全研究人员提供充分的时间。 |
|
来自: kaller_cui > 《网络空间作战》