Retour aux nouvelles

5 août 2019 | Local, Sécurité

Hacker Community to Take on DARPA Hardware Defenses at DEF CON 2019

This month, DARPA will bring a demonstration version of a secure voting ballot box equipped with hardware defenses in development on the System Security Integrated Through Hardware and Firmware (SSITH) program to the DEF CON 2019 Voting Machine Hacking Village (Voting Village). The SSITH program is developing methodologies and design tools that enable the use of hardware advances to protect systems against software exploitation of hardware vulnerabilities. To evaluate progress on the program, DARPA is incorporating the secure processors researchers are developing into a secure voting ballot box and turning the system loose for public assessment by thousands of hackers and DEF CON community members.

Many of today's hardware defenses cover very specific instances or vulnerabilities, leaving much open to attack or compromise. Instead of tackling individual instances, SSITH researchers are building defenses that address classes of vulnerabilities. In particular, SSITH is tackling seven vulnerabilities classes identified by the NIST Common Weakness Enumeration Specification (CWE), which span exploitation of permissions and privilege in the system architectures, memory errors, information leakage, and code injection.

“There are a whole set of cyber vulnerabilities that happen in electronic systems that are at their core due to hardware vulnerabilities – or vulnerabilities that hardware could block,” said Dr. Linton Salmon, the program manager leading SSITH. “Current efforts to provide electronic security largely rely on robust software development and integration, utilizing an endless cycle of developing and deploying patches to the software firewall without addressing the underlying hardware vulnerability. The basic concept around SSITH is to make hardware a more significant participant in cybersecurity, rather than relegating system security only to software.”

Under the SSITH program, researchers are exploring a number of different design approaches that go well beyond patching. These include using metadata tagging to detect unauthorized system access; employing formal methods to reason about integrated circuit systems and guarantee the accuracy of security characteristics; and combining hardware performance counters (HPCs) with machine learning to detect attacks and establish protective fences within the hardware. One team from the University of Michigan is developing a novel security approach that changes the unspecified semantics of a system every 50 milliseconds. Currently, attackers continuously probe a system to locate these undefined sections and, over time, are able to create a system map to identify possible hacks. By changing the construct every 50 milliseconds, attackers do not have enough time to find those weaknesses or develop an accurate representation of the system as a whole.

To evaluate the hardware security concepts in development on the SSITH program, DARPA – working with Galois – is pursuing a voting system evaluation effort to provide a demonstration system that facilitates open challenges. The program elected to use a voting system as its demonstration platform to provide researchers with an accessible application that can be evaluated in an open forum. Further, the topic of election system security has become an increasingly critical area of concern for the hacker and security community, as well as the United States more broadly.

“DARPA focuses on creating technologies to enhance national defense, and election system security falls within that remit. Eroding trust in the election process is a threat to the very fabric of our democracy,” noted Salmon.

While protecting democracy is a critical national defense issue, SSITH is not trying to solve all issues with election system security nor is it working to provide a specific solution to use during elections. “We expect the voting booth demonstrator to provide tools, concepts, and ideas that the election enterprise can use to increase security, however, our true aim is to improve security for all electronic systems. This includes election equipment, but also defense systems, commercial devices, and beyond,” said Salmon.

During DEF CON 2019, the SSITH voting system demonstrator will consist of a set of RISC-V processors that the research teams will modify to include their SSITH security features. These processors will be mounted on field programmable gate arrays (FPGAs) and incorporated into a secure ballot box. Hackers will have access to the system via an Ethernet port as well as a USB port, through which they can load software or other attacks to challenge the SSITH hardware. Since SSITH's research is still in the early stages, only two prototype versions of the 15 processors in development will be available for evaluation.

“At this year's Voting Village, hackers may find issues with the processors and quite frankly we would consider that a success. We want to be transparent about the technologies we are creating and find any problems in these venues before the technology is placed in another venue where a compromise could be more dangerous,” said Salmon.

Following DEF CON 2019, the voting system evaluation effort will go on a university roadshow where additional cybersecurity experts will have an opportunity to further analyze and hack the technology. In 2020, DARPA plans to return to DEF CON with an entire voting system, which will incorporate fixes to the issues discovered during the previous year's evaluation efforts. The 2020 demonstrator will use the STAR-Vote system architecture, which is a documented, open source architecture that includes a system of microprocessors for the voting booth, ballot box, and other components. It also includes a verifiable paper ballot, providing both digital and physical representations of the votes cast within the booth.

“While the 2020 demonstrator will provide a better representation of the full attack surface, the exercise will not result in a deployable voting system. To aid in the advancement of secure election equipment as well as electronic systems more broadly, the hardware design approaches and techniques developed during the SSITH program will be made available to the community as open-source items,” concluded Salmon.

https://www.darpa.mil/news-events/2019-08-01

Sur le même sujet

  • CAE acquiert Alpha-Omega Change Engineering (AOCE)

    2 août 2018 | Local, Aérospatial

    CAE acquiert Alpha-Omega Change Engineering (AOCE)

    CAE a annoncé aujourd'hui que CAE USA Mission Solutions Inc., une filiale de CAE USA, a fait l'acquisition d'Alpha-Omega Change Engineering (AOCE) pour approximativement 29 millions $ US, exclusion faite des ajustements usuels après clôture. L'acquisition permettra de renforcer les compétences principales de CAE USA en tant qu'intégrateur de systèmes de formation, de faire croître la position de CAE sur les plateformes ayant une longue durée de vie comme celles des avions de chasse, et d'accroître la capacité de CAE USA à mettre sur pied des programmes de sécurité de niveau supérieur aux États-Unis. AOCE, dont le siège social se trouve à Williamsburg, en Virginie, offre une gamme de services de formation des équipages, d'évaluation et d'essais opérationnels et de services de soutien technique au U.S Department of Defense et à la communauté du renseignement des États-Unis. « Cette acquisition cadre directement avec les priorités stratégiques de CAE en matière de croissance et d'expansion de ses capacités au sein du plus important marché de la défense au monde », a déclaré Marc Parent, président et chef de la direction de CAE. « AOCE possède des contrats et un rendement antérieur en matière de systèmes télépilotés, de formation des équipages, de développement de didacticiels pour les chasseurs et les aéronefs d'opérations spéciales et l'aérospatiale et la défense antimissile », a déclaré Ray Duquette, président et directeur général, CAE USA. « Cette acquisition permettra d'améliorer considérablement les capacités d'intégration des systèmes de formation de CAE USA et nous permettra de saisir des occasions d'affaires plus importantes aux États-Unis. » AOCE a été fondée en 1997 et emploie environ 600 personnes. C'est une entreprise florissante qui offre des services de formation, d'ingénierie et de consultation. Elle est actuellement maître d'œuvre d'une gamme de programmes pour le U.S. Department of Defense, notamment : le contrat de formation des employés de la maintenance et des équipages à Kirtland, Davis-Monthan, Joint Base Andrews, Moody (KDAM) en soutien au programme de formation des équipages et de soutien à l'entraînement de l'Air Force Special Operations Command (ATARS); le contrat à quantité et à livraison indéfinies du U.S. Army Space & Missile Defense Command pour fournir des services de soutien opérationnel et d'ingénierie; le contrat de formation des équipages de la U.S. Air Force et de développement de didacticiels pour les équipages des F-15, F-16 et F-22. « CAE est un chef de file en formation reconnu mondialement. Nous avons eu la chance de connaître CAE et d'établir une excellente relation de travail avec elle en travaillant sur des programmes comme celui de l'entraînement des équipages de l'avion télépiloté MQ-9 Reaper », a déclaré Jim Hartney, président du conseil d'administration d'AOCE. « Cette acquisition et notre intégration à CAE généreront de nouvelles occasions de croissance pour AOCE et nos employés. » CAE USA a aussi annoncé la mise sur pied de CAE USA Mission Solutions Inc., une filiale de CAE USA, qui découle d'une entente de procuration avec le gouvernement des États-Unis. L'entente de procuration permet à Mission Solutions de mettre sur pied des programmes de sécurité de niveau supérieur et de les exécuter. À propos de CAE La division Défense et sécurité de CAE aide ses clients à atteindre et à maintenir le meilleur état de préparation des missions qui soit. Nous sommes un intégrateur de systèmes de formation de classe mondiale qui offre un vaste éventail de centres et de services de formation et de produits de simulation dans les segments de marché des forces aériennes, des forces terrestres, des forces navales et de la sécurité publique. Nous desservons des clients mondiaux dans les domaines de la défense et de la sécurité par l'intermédiaire de nos opérations régionales au Canada, aux États-Unis et en Amérique latine, en Europe, au Moyen-Orient et en Afrique ainsi qu'en Asie-Pacifique, qui tirent profit de la gamme complète de capacités, de technologies et de solutions de CAE. CAE est un chef de file mondial en formation dans les domaines de l'aviation civile, de la défense et sécurité, et de la santé. Appuyés par plus de 70 ans d'innovations, nous participons à la définition des normes mondiales en formation. Nos solutions innovatrices, qui vont de la formation virtuelle à l'entraînement en vol, rendent le transport aérien plus sécuritaire, gardent nos forces de défense prêtes pour leurs missions et améliorent la sécurité des patients. Nous avons la plus vaste présence mondiale de l'industrie, avec plus de 8 500 employés, 160 emplacements et centres de formation dans plus de 35 pays. Nous assurons chaque année la formation de plus de 120 000 membres d'équipage du secteur civil et du secteur de la défense et de milliers de professionnels de la santé dans le monde. https://www.cae.com/fr/nouvelles-et-evenements/communique-de-presse/cae-acquires-alpha-omega-change-engineering-aoce/

  • La ministre Anand annonce un investissement pouvant s’élever à 3,7 milliards de dollars en vue de la fourniture aux Forces armées canadiennes de vêtements et de chaussures opérationnels

    20 octobre 2022 | Local, Terrestre

    La ministre Anand annonce un investissement pouvant s’élever à 3,7 milliards de dollars en vue de la fourniture aux Forces armées canadiennes de vêtements et de chaussures opérationnels

    Le 20 octobre 2022 – Saint-Jean-sur-Richelieu (Québec) – Défense nationale/Forces armées canadiennes Aujourd'hui, la ministre de la Défense nationale, Anita Anand, a annoncé qu'à la suite d'un processus d'approvisionnement concurrentiel, Logistik Unicorp, une entreprise établie à Saint-Jean-sur-Richelieu, au Québec, s'est vu accorder un contrat visant la fourniture aux Forces armées canadiennes (FAC) de vêtements et de chaussures opérationnels. Ce contrat, dont la valeur pourrait s'élever à 3,7 milliards de dollars sur 20 ans, appuiera plus de 3 000 emplois dans les industries du textile, de l'habillement et de la chaussure au Canada. Cet investissement prévoit la livraison d'approximativement 1 222 articles vestimentaires et chaussures portés par les membres des FAC durant leurs déploiements, notamment : · uniformes de combat avec le dessin de camouflage canadien (DCamC); écussons et insignes; bottes de combat, bottes pour climat aride/chaud et mukluks; · tenues d'hiver, entre autres, parkas, couvre-chefs, gants et mitaines; équipement individuel des soldats, entre autres, sacs de couchage et sacs à dos d'une journée. Ce contrat prévoit la livraison de fournitures pour plus de 160 000 personnes, y compris des membres de la Force régulière et de la Réserve, des Rangers canadiens, des Rangers juniors, des techniciens en recherche et sauvetage, des pompiers et des cadets. De plus, le contrat renferme des dispositions permettant l'approvisionnement ponctuel en équipement nécessaire à des opérations de déploiement inattendues, par exemple, la fourniture immédiate d'équipement de protection individuel en cas d'urgences critiques. Le Contrat consolidé vêtements et chaussures opérationnels (C2VCO) annoncé aujourd'hui constitue une nouvelle approche à la fourniture de l'équipement opérationnelle dont les FAC ont besoin pour mener des opérations nationales et internationales couronnées de succès. Une fois que le contrat sera bien en place, les militaires pourront commander des articles en ligne et faire livrer leurs commandes à leur porte, et les FAC, quant à elles, pourront continuer de distribuer directement les uniformes aux unités. Cette nouvelle approche se traduira par l'optimisation de la gestion des ressources et des stocks pour les FAC, l'amélioration de la disponibilité des produits et l'accroissement de la valeur pour les contribuables. Le présent projet produira des retombées économiques concrètes pour les Québécois et l'ensemble des Canadiens. Logistik Unicorp investira des fonds dans les activités de recherche et développement et la formation axée sur les compétences visant les secteurs du textile, de l'habillement et de la chaussure, ce qui donnera lieu à la création d'emplois et de possibilités d'exportation additionnelles. Logistik Unicorp doit également se conformer aux exigences obligatoires en matière de contenu canadien en veillant à ce que la majeure partie de la fabrication de vêtements et de chaussures soit réalisée au Canada. Le gouvernement du Canada est résolu à doter les FAC de l'équipement et des outils dont elles ont besoin pour servir le Canada sur la scène nationale et internationale. https://www.canada.ca/fr/ministere-defense-nationale/nouvelles/2022/10/la-ministreanand-annonce-un-investissement-pouvant-selever-a-37milliards-de-dollars-en-vue-de-la-fourniture-aux-forces-armees-canadiennes-de-veteme0.html

  • Today's letters: Canada's defence procurement carries needless risks

    19 mai 2023 | Local, Autre défense

    Today's letters: Canada's defence procurement carries needless risks

    Friday, May 19: When it comes to military spending, maybe wiser, more affordable options are available, a reader says.

Toutes les nouvelles