pessoas Microsoft ele queria jogar a casa pela janela com seu anúncio recente em que ele anunciou que eestão dispostos a pagar uma recompensa de até cem mil dólares para aqueles que vêm para se identificar e compartilhar com eles lacunas de segurança em sua plataforma Azure Sphere IoT que é construído com base no kernel Linux e usando isolamento de sandbox para serviços e aplicativos básicos.
O prêmio é prometido para demonstrar vulnerabilidades no subsistema Pluton (a raiz de confiança implementada no chip) ou Secure World (sandbox). Esta série de recompensas faz parte de um programa de um novo desafio de três meses e oferece a maior recompensa de US $ 100,000 para pesquisadores que podem executar código no Azure Pluto e no Azure Secure World.
A plataforma do aplicativo Azure Sphere inclui Normal World, o Linux equivalente ao modo de usuário, e Secure World, que fica sob o kernel Linux personalizado da Microsoft, onde o Security Monitor é executado. Apenas o código fornecido pela Microsoft pode ser executado no modo supervisor ou no Secure World, observa a Microsoft.
Se você não sabe da plataforma Azure Sphere, você deve saber que ele é projetado para criar dispositivos para a Internet das coisas (IoT) criado baseado em microcontroladores de baixa potência (MCU, unidades de microcontrolador) com subsistemas periféricos integrados.
Esfera Azure também usado em equipamentos de varejoPor exemplo, empresas como a Starbucks. Uma das características da plataforma é o subsistema Pluton, projetado para fornecer hardware para criptografia, armazene chaves privadas e execute operações criptográficas complexas. Pluton inclui um processador dedicado separado, mecanismo de criptografia, gerador de números aleatórios de hardware e armazenamento de chaves isolado.
A iniciativa é voltada especificamente para o Azure Sphere OS e não inclui subsistemas de nuvem que já estão incluídos em um programa de recompensa separado.
Este novo desafio de pesquisa visa gerar novas pesquisas de segurança de alto impacto no Azure Sphere, uma solução de segurança IoT abrangente que oferece segurança ponta a ponta em hardware, sistema operacional e nuvem. Embora o Azure Sphere implemente a segurança com antecedência e por padrão, a Microsoft reconhece que a segurança não é um evento único.
Os riscos devem ser constantemente mitigados ao longo da vida útil de uma gama cada vez maior de dispositivos e serviços. Envolver a comunidade de pesquisa de segurança para investigar vulnerabilidades de alto impacto antes que os bandidos o façam é parte da abordagem holística que o Azure Sphere está adotando para minimizar o risco.
Para receber um bônus, é necessário demonstrar uma vulnerabilidade durante um ataque local (compromisso de aplicação) ou remoto, isso pode levar a um código de terceiros não autenticado por assinatura digital, interceptando parâmetros de autenticação, aumentando privilégios, fazendo alterações na configuração ou contornando as restrições do firewall.
Para realizar o estudo, A Microsoft expressou sua disposição de fornecer aos participantes acesso a produtos e serviços, o SDK do Azure Sphere, documentação técnica, além de fornecer um canal de comunicação com os desenvolvedores da plataforma.
A Microsoft fez parceria com várias empresas de tecnologia que trazem experiência em pesquisa de segurança de IoT para lançar o Azure Sphere Security Research Challenge, esses parceiros incluem Avira, Baidu International Technology, Bitdefender, Bugcrowd, Cisco Systems (Talos), ESET, FireEye , F-Secure, HackerOne, K7 Computing, McAfee, Palo Alto Networks e Zscaler.
Se você estiver interessado em solicitar acesso a este programa de pesquisa, você deve preencher o seguinte formulário de inscrição antes de 15 de maio de 2020.
As inscrições serão analisadas semanalmente e os pesquisadores aceitos serão notificados por e-mail. Este desafio de pesquisa abrange desde em 1 de junho de 2020 para em 31 de agosto de 2020 para pesquisadores aceitos por meio de inscrição aberta.
Por fim, se você tiver interesse em saber mais sobre o assunto, pode consultar os detalhes no link a seguir.