La gent de Microsoft va voler llençar la casa per la finestra amb la seva recent anunci en el qual va donar a conèixer que eestà disposat a pagar una recompensa de fins a cent mil dòlars a aquells que arribin a identificar i comparteixin amb ells les bretxes de seguretat que a la plataforma Azure Sphere IoT la qual està construïda sobre la base del nucli de Linux i utilitzant aïllament de sandbox per a serveis i aplicacions bàsics.
El premi es promet per demostrar vulnerabilitats al subsistema Pluton (l'arrel de la confiança implementada al xip) o Secure World (sandbox). Aquesta sèrie de recompenses són part d'un programa de un nou desafiament de tres mesos i ofereix la recompensa més alta de $ 100,000 als investigadors que poden executar codi a Azure Pluto i Azure Secure World.
La plataforma d'aplicació Azure Sphere inclou Normal World, l'equivalent de Linux del mode d'usuari, i Secure World, que es troba sota el nucli de Linux personalitzat de Microsoft, on s'executa Security Monitor. Només el codi proporcionat per Microsoft es pot executar en mode supervisor oa Secure World, assenyala Microsoft.
si desconeixes de la plataforma Azure Sphere, has de saber que està dissenyada per crear dispositius dInternet de les coses (IoT) creats sobre la base de microcontroladors de baix consum (MCU, unitats de microcontroladors) amb subsistemes perifèrics integrats.
Azure Sphere també s'usa en equips minoristes, per exemple, empreses com Starbucks. Una de les característiques de la plataforma és el subsistema Pluton, dissenyat per proporcionar maquinari per al xifratge, emmagatzemar claus privades i fer operacions criptogràfiques complexes. Pluton inclou un processador dedicat separat, un motor criptogràfic, un generador de números aleatoris de maquinari i un magatzem de claus aïllat.
La iniciativa està adreçada específicament a Azure Sphere OS i no inclou subsistemes al núvol que ja estan inclosos en un programa de recompensa per separat.
Aquest nou desafiament de recerca té com a objectiu generar una nova investigació de seguretat d'alt impacte a Azure Sphere, una solució integral de seguretat d'IoT que ofereix seguretat d'extrem a extrem en maquinari, sistema operatiu i núvol. Si bé Azure Sphere implementa la seguretat per avançat i per defecte, Microsoft reconeix que la seguretat no és un esdeveniment únic.
Els riscos s'han de mitigar constantment durant la vida útil d'una gamma de dispositius i serveis en creixement constant. Involucrar la comunitat de recerca de seguretat per investigar vulnerabilitats d'alt impacte abans que ho facin els dolents és part de l'enfocament holístic que l'Azure Sphere està prenent per minimitzar el risc.
Per rebre una bonificació, cal demostrar una vulnerabilitat que, durant un atac local (compromís de l'aplicació) o remot, podria conduir a un codi de tercers no autenticat per signatura digital, interceptar paràmetres d'autenticació, augmentar els privilegis, fer canvis en la configuració o eludir les restriccions del tallafoc.
Per fer l'estudi, Microsoft va expressar la seva voluntat de proporcionar als participants accés a productes i serveis, el SDK d'Azure Sphere, documentació tècnica, així com també proporcionar un canal de comunicació amb els desenvolupadors de la plataforma.
Microsoft es va associar amb diverses companyies de tecnologia que aporten experiència en la investigació de seguretat d'IoT, per llançar l'Azure Sphere Security Research Challenge, aquests socis inclouen Avira, Baidu International Technology, Bitdefender, Bugcrowd, Cisco Systems (Talos), ESET, FireEye , F-Secure, HackerOne, K7 Computing, McAfee, Palo Alto Networks i Zscaler.
Si estàs interessat en sol·licitar accés a aquest programa de recerca, has d'emplenar el següent formulari de sol·licitud abans del 15 de maig del 2020.
Les sol·licituds seran revisades setmanalment i els investigadors acceptats seran notificats per correu electrònic. Aquest repte de recerca s'estén des de l'1 de juny de 2020 fins el 31 d'agost de 2020 per als investigadors acceptats a través de laplicació oberta.
Finalment si estàs interessat en conèixer més a l'respecte, pots consultar els detalls en el següent enllaç.