2020年，DARPA進行了首個bug懸賞項目—“尋找漏洞以阻止篡改”（FETT），評估“通過硬件和固件集成的系統(tǒng)安全”（SSITH）項目開發(fā)的硬件保護技術(shù)能力。SSITH項目正在探索硬件安全架構(gòu)和工具，保護電子系統(tǒng)不受通過軟件實施的常見硬件漏洞的影響，以打破無休止的軟件補丁和“祈禱”的循環(huán)。

通過FETT，DARPA與安全公司Synack合作，讓數(shù)百名網(wǎng)絡(luò)安全研究人員和逆向工程師虛擬訪問SSITH安全處理器，發(fā)現(xiàn)弱點和漏洞。這項工作的關(guān)鍵是開發(fā)了首個可擴展的虛擬化平臺，用于遠程測試和處理器原型評估。該平臺由Galois公司開發(fā)，提供了虛擬眾包分析未來處理器技術(shù)的手段。

開源FETT平臺

為了幫助研究人員開發(fā)新的處理器原型，DARPA開源FETT評估平臺，包括對模擬系統(tǒng)的后端管理，如用于測試和評估SSITH處理器系統(tǒng)和面向用戶的前端組件，還將通過開源源碼庫，提供用于測試處理器功率、性能、面積和安全性的評估工具，以及用于指定和推理安全屬性的工具。

自述意義

SSITH項目經(jīng)理Keith Rebello說：“我們認為將這項研究提供給更廣泛的科研領(lǐng)域具有價值，研究人員可通過測試和評估處理器設(shè)計確保其強大和安全。我們的目標是讓研發(fā)人員利用SSITH安全評估框架，幫助創(chuàng)建一個共同的可用于對比安全處理器設(shè)計的安全基準。”

開源RISC-V處理器

除了FETT評估平臺外，DARPA還開源了SSITH項目所使用的基線（baseline）RISC-V處理器設(shè)計。這些設(shè)計不包括SSITH安全架構(gòu)，但為正在探索新硬件保護并對在虛擬環(huán)境中評估其方法感興趣的開發(fā)者提供了一個起跳點。開源源碼庫還包含在FPGA開發(fā)板和亞馬遜AWS F1云上使用基線處理器進行試驗和互動的工具。

自述意義

Rebello說：“我們發(fā)現(xiàn)，能夠在臺式開發(fā)板和基于云的仿真環(huán)境之間輕松轉(zhuǎn)移處理器設(shè)計，支持分布式開發(fā)和同時仿真大量處理器的能力，具有重大的效用。臺式開發(fā)板用于支持處理器與物理接口和外部控制系統(tǒng)互動。通過開源，我們希望為開發(fā)新處理器的研究人員提供同樣的靈活性。”

開源模擬演示平臺

為了幫助給FETT帶來真實感，研究人員還開發(fā)了模擬實際電子系統(tǒng)的演示平臺，在這些系統(tǒng)中，SSITH處理器可實現(xiàn)對敏感數(shù)據(jù)或個人身份信息（PII）的關(guān)鍵保護。DARPA還開發(fā)了一個網(wǎng)絡(luò)物理汽車演示器，模擬大多數(shù)汽車中常見的各種電子控制系統(tǒng)，如娛樂系統(tǒng)、轉(zhuǎn)向柱和剎車系統(tǒng)。這些系統(tǒng)的演示器版本經(jīng)過了簡化，但仍提供了真實的工作平臺。為了使未來的評估工作能夠進行，同時也鼓勵繼續(xù)推進演示系統(tǒng)，DARPA開源了這些工具的源代碼。

訪問地址

FETT平臺、工具、演示器和支持資產(chǎn)可通過GitHub、https://github.com/GaloisInc/BESSPIN。

信息來源