DARPA Lanza Un Programa De Bug Bounty Centrado En Hardware
El brazo de investigación de defensa de Estados Unidos pide a expertos en seguridad informática que ayuden a proteger sus sistemas mediante una competición que tendrá lugar entre los próximos 15 y 19 de junio
La Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA) ha lanzado su primer programa de recompensas de errores centrado en abordar las vulnerabilidades de hardware.
DARPA lanzó SSITH (System Integration Integration Through Hardware and Firmware) en 2017, una iniciativa que se enfoca en abordar los problemas de seguridad en la fuente en lugar de depender de parches.
«FETT (Finding Exploits to Thwart Tampering) abrirá las protecciones de seguridad de hardware de SSITH a una comunidad global de investigadores éticos con experiencia en ingeniería inversa de hardware para detectar vulnerabilidades potenciales, fortalecer las tecnologías y proporcionar un camino claro para la divulgación».
Keith Rebello, gerente de programa de DARPA
El nuevo programa de recompensas de errores DARPA, que se está lanzando en asociación con la plataforma Synack, verá a los expertos en ciberseguridad atacar sistemas alojados en redes basadas en la nube.
Synack explicó que los piratas informáticos tendrán acceso a sistemas emulados que se ejecutan en instancias Amazon EC2 F1, incluido un núcleo de procesador RISC-V que contiene protecciones de seguridad de hardware desarrolladas a través de SSITH.
Cada sistema contendrá vulnerabilidades conocidas. Se pedirá a los expertos que usen ataques de 0-day para eludir las protecciones de seguridad vigentes en «un conjunto diverso de variantes de procesador, tecnologías de protección de seguridad de hardware, sistemas operativos y aplicaciones».
Los participantes pueden ganar hasta 25.000 dólares en el programa DARPA, con objetivos que incluyen registros médicos COVID-19, sistemas de votación electoral, etc.
En el caso de los sistemas de votación, la integración exitosa de las tecnologías de protección de hardware SSITH tiene como objetivo proteger en última instancia la información subyacente del votante de la manipulación o divulgación, incluso en presencia de vulnerabilidades en el software del sistema.
Synack organizará una competición de CTF entre los próximos 15 al 19 de junio. Los candidatos seleccionados serán invitados a obtener un pase rápido al programa FETT.
El programa de recompensas de errores se ejecutará de julio a septiembre de 2020, permitiendo «tiempo suficiente» para que los investigadores prueben el hardware.
Más información:
https://www.darpa.mil/news-events/2020-06-08a
Via: unaaldia.hispasec.com