FETT计划与Synack合作运行,致力于解决其来源的硬件漏洞
美国国防高级研究项目局(DARPA)已报告了有史以来的首个安全错误赏金计划,说该计划强调了优势和劣势。
寻找对阻碍篡改(FETT)的漏洞是“五角大楼”众包数字防御计划的一部分。
作为先前报道,设置了该错误赏金,以评估DARPA的系统安全集成通过硬件和固件(SSITH)程序开发的硬件架构。
SSITH旨在开发安全体系结构和工具,以防止常见类型硬件可以通过软件利用来利用的漏洞。
来自众包安全平台Synack的研究人员测试了980多个Ssith处理器。
总共发现了10个漏洞 - 七个关键和三个高峰 - 大多数关键漏洞都归结为Ssith硬件,Ssith固件和操作系统软件之间的交互。
根据Darpa的说法到目前为止,其中四个缺陷已经修补,该机构希望尽快解决其余部分。
“ FETT都证明了Ssith计划中安全硬件架构在开发中的价值,并挑战了研究团队,以进一步促进和成熟技术,”负责SSITH计划和FETT Bug Bounty的计划经理Keith Rebello告诉每日swbeplay2018官网ig。
“ Synack的网络分析师生成的错误报告提供了可行的信息,这些信息正在帮助在计划的最后阶段推动持续发展。”
该程序还导致创建一个可扩展的虚拟化平台,用于远程测试和评估安全处理器原型。
它允许对处理器分析和黑客的虚拟众包,Rebello说,可以再次用于未来的处理器技术评估。
DARPA计划开源该平台以及其一些RISC-V设计供将来使用。
“该计划的最后阶段将着重于继续推进开发中的安全处理器,以确保它们可以防止CWE硬件的七个类别中的所有弱点脆弱性SSITH专注的课程。” Rebello说。
“我们还计划采用最终的SSITH处理器设计,并制造一个Ssith处理器来评估硅的性能。”