ABD Savunma Bakanlığı’na bağlı Savunma İleri Araştırma Projeleri Ajansı’nın (DARPA), kuruluşların sistemlerindeki güvenlik açıklarını bulmak amacıyla tarihinde ilk kez düzenlediği “Bug Bounty Yarışması” analizleri paylaşıldı.
Yaklaşık 580 siber güvenlik araştırmacısının 13 bin saatten fazla süreli hackerlik faaliyetlerini üç ay boyunca incelemesinin ardından DARPA tarafından yapılan açıklamada Donanım ve Yazılım Aracılığıyla Sistem Güvenliği Entegrasyonu (SSITH) kapsamında geliştirilen güvenli donanım mimarilerinin başarısının kanıtlandığı duyuruldu.
Yarışma, Savunma Bakanlığının Dijital Savunma Hizmeti (DDS) ve kitle kaynaklı bir güvenlik platformu olan Synack ile ortaklaşa gerçekleştirildi. Synack’in mevcut araştırmacı topluluğu tarafından 980’den fazla SSITH işlemcisi test edildi ve tüm güvenli mimari uygulamalarında sadece 10 güvenlik açığı keşfedildi.
DARPA’NIN SSITH PROGRAMI DONANIM AÇIKLARINA KARŞI KORUMA SAĞLIYOR
DARPA’nın SSITH programı, elektronik sistemleri yazılım aracılığıyla kötüye kullanılan yaygın donanım açıklarına karşı koruyan güvenlik mimarileri ve araçları geliştirmeyi amaçlıyor. SSITH üzerinde çalışan ekipler, araştırmalarını test etmeye ve değerlendirmeye yardımcı olmak için yeni donanım güvenlik korumalarını RISC-V işlemci çekirdeklerine sahip FPGA tabanlı “benzetilmiş“ sistemlere entegre etti. Korumasız işlemcilerde kötüye kullanılabilecek savunmasız uygulamalarla doldurulmuş her sistemin üzerine tam yazılım yığınları oluşturuldu. Bu benzetilmiş sistemler daha sonra, kuruluşun güvenlik araştırmacıları grubu olan Synack Red Team’e (SRT) Amazon Web Services (AWS) EC2 F1 bulutu aracılığıyla iletildi.
SİSTEM OLDUKÇA ETKİLİ
SSITH ve FETT’ten sorumlu DARPA program yöneticisi Keith Rebello, “Neredeyse hiçbir sistemin hacklenemez olmadığını bildiğimiz için işlemcilerdeki hataları keşfetmeyi bekliyorduk, ancak FETT sayesinde SSITH teknolojilerinin yaygın yazılım tabanlı donanım istismarlarına karşı korumada oldukça etkili olduğu ortaya çıkmış oldu” dedi.
Üç aylık süre içinde SRT tarafından yalnızca 10 güvenlik açığı ortaya çıkarıldı. Common Vulnerability Scoring System 3.0 (Genel Zafiyet Puanlama Sistemi) standartlarına göre bunlardan yedi tanesi “kritik”, üçü “yüksek” olarak belirlendi. Bug Bounty yarışması sırasında keşfedilen güvenlik açıklarından dördü yamalanıp ve SRT tarafından doğrulandı. SSITH araştırma ekiplerinin, programın üçüncü aşaması sırasında güvenlik açıklarını azaltmaları beklenmektedir.
SSITH programı şu anda üçüncü ve son aşamasında. Araştırma ekipleri, daha da fazla güvenlik korumaları için ısrar ederken teknolojilerinin performansını iyileştirmeye odaklanıyor.
İlk yorum yapan olun