Intel sfrutta gli hackathon per affrontare le vulnerabilità hardware

Sin dalla prima competizione di hacking Hack@DAC nel 2017, migliaia di ingegneri della sicurezza hanno contribuito a scoprire vulnerabilità basate sull’hardware, sviluppare metodi di mitigazione ed eseguire l’analisi delle cause principali dei problemi rilevati.

Intel ha inizialmente deciso di organizzare un concorso, che attira professionisti della sicurezza provenienti dal mondo accademico e da partner industriali di tutto il mondo, per aumentare la consapevolezza sulle vulnerabilità basate sull'hardware e promuovere la necessità di più strumenti di rilevamento, afferma Arun Kanuparthi, ingegnere principale e ricercatore sulla sicurezza offensiva. all'Intel. Un altro obiettivo dietro Hack@DAC, le competizioni capture-the-flag e altre hackathon per attirare l'attenzione dei progettisti di chip, per motivarli a progettare il silicio in modo più sicuro, dice.

"C'è pochissima consapevolezza delle debolezze della sicurezza hardware in generale", afferma Kanuparthi, che ha parlato delle lezioni che Intel ha imparato da anni di gestione di Hack@DAC alla recente conferenza Black Hat Asia a Singapore. "E abbiamo pensato, in realtà, come possiamo ottenere questa consapevolezza nella comunità di ricerca sulla sicurezza?"

"Se si guarda al software, ci sono molti strumenti per la sicurezza, con software o firmware, ma quando si guarda all'hardware, ci sono solo una manciata di EDA o strumenti di automazione della progettazione elettronica", afferma Kanuparthi.

Questo tipo di eventi sono efficaci per riunire le persone per individuare le vulnerabilità e condividere le proprie conoscenze. I CTF sono metodi consolidati per insegnare e apprendere nuove competenze e migliori pratiche. Intel ritiene inoltre che sia importante offrire agli studenti "un'esperienza di cosa si prova a essere un ricercatore di sicurezza presso un'azienda di progettazione", afferma Kanuparthi.

Intel sta ora accettando iscrizioni per l'Hack@DAC 2024, che si svolgerà a giugno a San Francisco.

Affrontare problemi difficili

Quando Intel organizzò per la prima volta Hack@DAC, non esisteva un design standard o una piattaforma open source per scoprire o condividere informazioni sulle vulnerabilità hardware, afferma Hareesh Khattri, uno dei principali ingegneri per la ricerca offensiva sulla sicurezza presso Intel. La situazione è cambiata con la collaborazione di Intel con la Texas A&M University e l'Università tecnica di Darmstadt in Germania. I professori e gli studenti hanno preso progetti open source e hanno inserito le vulnerabilità hardware esistenti per creare un quadro comune per rilevarle e quelle nuove.

"E ora anche molti documenti di ricerca sulla sicurezza hardware hanno iniziato a citare questo lavoro", afferma Khattri.

Nel 2020, Intel si è unita ad altri produttori di semiconduttori allineandosi a MITRE Enumerazione delle debolezze comuni (CWE) team, che elenca e classifica le potenziali vulnerabilità nel software, nell'hardware e nel firmware per focalizzare maggiormente l'attenzione sull'hardware. Si trattava di un tentativo di colmare una lacuna, dal momento che MITRE gestiva solo i tipi di debolezza del software e CWE non riusciva ad affrontare le analisi delle cause principali delle vulnerabilità hardware, ricorda Kanuparthi.

"Se venisse identificato un problema hardware, [il CWE] verrebbe contrassegnato con un tipo generico di [avviso che informa] che c'è un problema o che il sistema non funziona come previsto", afferma Kanuparthi. “Ma ora c’è una visualizzazione progettuale per l’hardware che puoi risolvere perché questo è specificamente il problema. E questo è stato in gran parte il risultato di parte del lavoro che abbiamo svolto che ha portato all’attacco hacker e alla creazione del CWE ibrido”.

Mentre i produttori di semiconduttori accelerano la loro attenzione sull’aggiunta di progetti in grado di supportare nuove funzionalità di intelligenza artificiale, i ricercatori di sicurezza stanno cercando di identificare i punti deboli ancora più vicini alla progettazione dell’hardware, aggiunge Khattri. Ciò ha accelerato l’interesse per nuovi sforzi come quello contribuito da Google Progetto OpenTitan, un progetto di riferimento open source e linee guida di integrazione per garantire la radice dell'affidabilità dei chip RoT.

Gli sforzi dietro Hack@DAC e il lavoro di Intel con MITRE su CWE hanno portato a strumenti migliorati, afferma Khattri. Ad esempio, il fornitore di strumenti di valutazione della vulnerabilità dell'hardware Cycuity (che utilizza OpenTitan come punto di riferimento per il modo in cui il suo strumento misura i CWE) afferma il suo Radix ora può identificare l'80% dei punti deboli hardware noti nel database CWE.

"Abbiamo visto molti progressi in questo spazio rispetto a quando l'abbiamo iniziato", afferma Khattri. "Ora, l'attenzione di gran parte delle comunità di ricerca sulla sicurezza si è concentrata sul tentativo di identificare i punti deboli più vicini alla progettazione dell'hardware."

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/endpoint-security/intel-harnesses-hackathons-to-tackle-hardware-vulnerabilities