DARPA lanza el programa Bug Bounty


A diferencia de la mayoría de los proyectos de búsqueda de vulnerabilidades de crowdsourcing, este está dirigido a las defensas de components.

La Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA) quiere que los hackers de sombrero blanco intenten encontrar debilidades en los nuevos mecanismos de seguridad a nivel de components que ha desarrollado en los últimos años para proteger los sistemas de ataques cibernéticos.

Entre julio y septiembre de este año, DARPA, junto con la firma de gestión de seguridad de crowdsourcing Synack, organizará un programa de recompensas de errores en el que los investigadores de todo el mundo tendrán la oportunidad de echar un vistazo a las tecnologías desarrolladas bajo la Integración de seguridad del sistema de DARPA a través de hardware y firmware (SSITH ) esfuerzo.

Las personas que califican para el programa de recompensas de errores tendrán acceso a los sistemas emulados que se ejecutan en la infraestructura de la nube de Amazon. Cada sistema emulado incluirá controles de seguridad de hardware SSITH y ejecutará pilas de software program con vulnerabilidades conocidas. Los cazadores de errores que pueden explotar estas vulnerabilidades de software program al pasar por alto los mecanismos de seguridad de hardware de DARPA serán elegibles para recompensas que van desde miles hasta decenas de miles de dólares.

«Las defensas de hardware SSITH se centran en abordar siete clases de vulnerabilidades identificadas por la Especificación de enumeración de debilidad común MITRE (CWE) y NIST», dice Keith Rebello, gerente de programa, Oficina de tecnología de microsistemas de DARPA (MTO). Las vulnerabilidades incluyen aquellas que permiten la explotación de permisos y privilegios en las arquitecturas del sistema, errores de memoria, pérdida de información e inyección de código.

«Estamos pidiendo a los hackers y analistas éticos que revelen las debilidades en las defensas del hardware que podrían conducir a la explotación a través de una de estas clases de vulnerabilidad», dice.

DARPA lanzó el programa SSITH en 2017 como parte de un esfuerzo por dificultar a los cibercriminales explotar las vulnerabilidades de hardware a través del software package. El objetivo es desarrollar strategies y herramientas que los diseñadores de sistemas en chip podrían usar para proteger el components contra todas las clases conocidas de vulnerabilidades de hardware, dice Rebello.

Las organizaciones que participan en el programa SSITH de DARPA incluyen SRI Global y la Universidad de Cambridge, el Instituto de Tecnología de Massachusetts (MIT), la Universidad de Michigan y Lockheed Martin.

«Bajo el programa SSITH, los investigadores están explorando varios enfoques de diseño diferentes que van mucho más allá de los parches», dice Rebello. Algunos ejemplos incluyen el uso de etiquetado de metadatos para detectar el acceso no autorizado al sistema y métodos formales para garantizar las características de seguridad de los sistemas de circuitos integrados, así como encriptación y enclaves seguros para la protección de datos.

Para participar en DARPA&#39s Encontrar exploits para frustrar la manipulación (FETT) El programa Bug Bounty, los investigadores de seguridad, los ingenieros inversos y otros primero deberán pasar por un calificador de Capture the Flag. Los investigadores de seguridad que actualmente no forman parte del Equipo Rojo de Synack también deberán aprobar una evaluación técnica.

Habilidades de ingeniería inversa

Las personas que son seleccionadas para participar en el programa de búsqueda de recompensas necesitarán tener una buena comprensión de la arquitectura de la computadora y las pilas de computer software que se ejecutan en ellas, además de las habilidades de piratería y seguridad necesarias, dice Rebelllo.

«Esta es una actividad mucho más centrada en el hardware que la mayoría de las recompensas de errores», dice. «Estamos pidiendo a los participantes de FETT que pirateen las defensas de components utilizando exploits basados ​​en software package, y esperamos que su experiencia se alinee en consecuencia».

Los investigadores necesitarán comprender cómo funcionan las defensas SSITH a nivel de hardware para poder idear formas de evitarlo, dice.

Mark Kuhr, CTO y cofundador de Synack, dice que la naturaleza centrada en el hardware del programa FETT no es lo único que lo hace diferente de las típicas recompensas de errores. FETT no se trata de encontrar vulnerabilidades de computer software, sino de validar el diseño de un sistema que DARPA ha construido para evitar ataques que aprovechen las debilidades del components.

Los participantes del programa probablemente incluirán ingenieros de components y program y aquellos expertos en ingeniería inversa, evasión y escritura de código de explotación personalizado para varias arquitecturas. «Requiere un conjunto diferente de habilidades, seguro», dice Kuhr.

Los programas de búsqueda de errores de crowdsourcing se han convertido en una forma well-liked para que las organizaciones encuentren y aborden las amenazas de seguridad en sus aplicaciones y software program. El año pasado, por ejemplo, los cazadores de errores independientes ayudaron a la Fuerza Aérea de los Estados Unidos a identificar 54 vulnerabilidades en uno de sus entornos informáticos durante un proyecto de búsqueda de errores de seis semanas de duración. La Fuerza Aérea terminó pagando una cantidad relativamente pequeña de $ 123,000 en recompensas a los investigadores que reportaron las fallas.

Organizaciones como Synack, HackerOne y Bugcrowd, que gestionan proyectos de recompensas de errores, han informado de un creciente interés en sus programas por parte de organizaciones del sector público y privado. Los inversores también han estado invirtiendo dinero en empresas que gestionan programas de pruebas de penetración de financiación colectiva. Synack, por ejemplo, tiene recaudó más de $ 111 millones de inversores hasta ahora, incluidos $ 52 millones en su última ronda de financiación en mayo.

Muchas de estas empresas de seguridad de crowdsourcing tienen miles de hackers independientes de todo el mundo en su lista y han pagado decenas de millones de dólares en recompensas por errores a los investigadores en los últimos años. De hecho, el mes pasado, HackerOne anunció que los hackers que trabajan para él hasta ahora han ganado más de $ 100 millones en overall como recompensas por encontrar vulnerabilidades en aplicaciones y sistemas que pertenecen a los clientes de HackerOne.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia authentic