פורצים לדרפא: תכנית באג באונטי לפריצת הגנות חומרה

דרפא, סוכנות המו"פ של משרד ההגנה האמריקני (מקביל למפא"ת), משיקה תכנית מציאת חולשות (באג באונטי) להגנות החומרה שפיתחה. "תכנית FETT למציאת חולשות (באג באונטי) היא פעולה ייחודית למאמצי הערכה המסורתיים יותר של DARPA," אמר קית' רבלו, מנהל התוכנית של DARPA המוביל את SSITH (תכנית הגנות החומרה) ו- FETT (תכנית מציאת החולשות). "תכנית FETT תפתח את הגנות אבטחת החומרה של SSITH בפני קהילה עולמית של חוקרים עם התמחות בהנדסת חומרה כדי לאתר נקודות תורפה, לחזק את הטכנולוגיות ולספק דרך ברורה לתקיפה."

בעוד רוב תוכנות הבאג באונטי מתמקדות בבדיקת תוכנה, FETT ייחודית בהפיכת חומרה לזמינה עבור צוות אדום. לחוקרי אבטחה תינתן גישה למערכות הפועלות בענן Amazon Web Services (AWS) EC2 F1. כל מערכת מדומה מבוססת FPGA וכוללת ליבת מעבד RISC-V, ששונתה כך שתכלול את הגנות אבטחת החומרה שפותחו תחת תכנית SSITH. 

מערך התוכנה בכל מערכת שעוברת הדמיה צפוי להכיל פגיעויות ידועות, כאשר ההגנות על אבטחת החומרה של SSITH נועדו למנוע ניצול של פגיעויות אלה. נקודות תורפה אלה יתבססו על קטגוריות נפוצות של חולשות אבטחה כפי שזוהו על ידי MITER Common Weakness Enumeration Specification ו- NIST, כולל שגיאות מאגרים, דליפת מידע, ניהול משאבים, שגיאות מספריות וכו'. חוקרי האבטחה יצטרכו להמציא שיטות ניצול חדשניות לחולשות אלו על מנת לעקוף את ההגנה בחומרה של דרפא. 

תכנית FETT צפויה לרוץ מיולי עד ספטמבר 2020. אבטחת החומרה של SSITH פותחה על ידי חוקרים ב- SRI International, באוניברסיטת קיימברידג', מכון הטכנולוגיה של מסצ'וסטס (MIT), אוניברסיטת מישיגן וחברת לוקהיד מרטין. במהלך השנתיים האחרונות עמלו צוותי מחקר אלה לבדוק מספר גישות עיצוביות שונות והטכניקות שלהם. צוותי המחקר עובדים בשיתוף פעולה הדוק עם חברת galois. חברת מחקר ופיתוח במדעי המחשב המספקת פתרונות לקהילה הביטחונית של ארה"ב. 
 

אולי יעניין אותך גם