开源|DARPA在github上开源FETT bug Bounty硬件评估平台和工具,希望科研界持续探索和评估安全硬件架构

2020年,DARPA进行了首个bug悬赏项目—“寻找漏洞以阻止篡改”(FETT),评估“通过硬件和固件集成的系统安全”(SSITH)项目开发的硬件保护技术能力。SSITH项目正在探索硬件安全架构和工具,保护电子系统不受通过软件实施的常见硬件漏洞的影响,以打破无休止的软件补丁和“祈祷”的循环。

通过FETT,DARPA与安全公司Synack合作,让数百名网络安全研究人员和逆向工程师虚拟访问SSITH安全处理器,发现弱点和漏洞。这项工作的关键是开发了首个可扩展的虚拟化平台,用于远程测试和处理器原型评估。该平台由Galois公司开发,提供了虚拟众包分析未来处理器技术的手段。

开源FETT平台

为了帮助研究人员开发新的处理器原型,DARPA开源FETT评估平台,包括对模拟系统的后端管理,如用于测试和评估SSITH处理器系统和面向用户的前端组件,还将通过开源源码库,提供用于测试处理器功率、性能、面积和安全性的评估工具,以及用于指定和推理安全属性的工具。

自述意义

SSITH项目经理Keith Rebello说:“我们认为将这项研究提供给更广泛的科研领域具有价值,研究人员可通过测试和评估处理器设计确保其强大和安全。我们的目标是让研发人员利用SSITH安全评估框架,帮助创建一个共同的可用于对比安全处理器设计的安全基准。”

开源RISC-V处理器

除了FETT评估平台外,DARPA还开源了SSITH项目所使用的基线(baseline)RISC-V处理器设计。这些设计不包括SSITH安全架构,但为正在探索新硬件保护并对在虚拟环境中评估其方法感兴趣的开发者提供了一个起跳点。开源源码库还包含在FPGA开发板和亚马逊AWS F1云上使用基线处理器进行试验和互动的工具。

自述意义

Rebello说:“我们发现,能够在台式开发板和基于云的仿真环境之间轻松转移处理器设计,支持分布式开发和同时仿真大量处理器的能力,具有重大的效用。台式开发板用于支持处理器与物理接口和外部控制系统互动。通过开源,我们希望为开发新处理器的研究人员提供同样的灵活性。”

开源模拟演示平台

为了帮助给FETT带来真实感,研究人员还开发了模拟实际电子系统的演示平台,在这些系统中,SSITH处理器可实现对敏感数据或个人身份信息(PII)的关键保护。DARPA还开发了一个网络物理汽车演示器,模拟大多数汽车中常见的各种电子控制系统,如娱乐系统、转向柱和刹车系统。这些系统的演示器版本经过了简化,但仍提供了真实的工作平台。为了使未来的评估工作能够进行,同时也鼓励继续推进演示系统,DARPA开源了这些工具的源代码。

访问地址

FETT平台、工具、演示器和支持资产可通过GitHub、https://github.com/GaloisInc/BESSPIN。

信息来源

https://www.darpa.mil/news-events/2021-06-30a
(0)

相关推荐