Microsoft desafía a los investigadores de seguridad a piratear …



Los participantes pueden ganar hasta $ 100,000 por encontrar fallas graves en el sistema operativo Azure Sphere IoT de Microsoft basado en Linux.

Azure Sphere se presentó en abril de 2018 como un medio para mejorar la seguridad de los dispositivos conectados a Online de las cosas (IoT). Se compone de tres partes: microcontroladores conectados, un sistema operativo basado en Linux y un núcleo personalizado para alimentarlos, y un servicio de seguridad para proteger los dispositivos conectados. Azure Sphere alcanzó disponibilidad general en febrero de 2020, y ahora Microsoft lo está abriendo a los investigadores.

El Azure Sphere Security Investigation Challenge se basa en una iniciativa anterior, Azure Stability Lab, que Microsoft debutó en Black Hat United states el verano pasado. Se invitó a un grupo de investigadores a probar ataques contra escenarios de World wide web como servicio (IaaS) utilizando un conjunto de hosts en la nube dedicados aislados de los clientes de Azure. En ese momento, Microsoft duplicó la recompensa de recompensa superior por defectos de Azure a $ 40,000.

Lo último desafío de investigación es solo para aplicaciones y tendrá una duración de tres meses, comenzando el 1 de junio y terminando el 31 de agosto. Los investigadores deben presentar una solicitud antes del 15 de mayo. Microsoft ha invitado a investigadores de socios de la industria que participan en el programa y seleccionará un complete de 50 personas, dice Sylvie Liu , administrador del programa de seguridad en el Centro de respuesta de seguridad de Microsoft.

Si se acepta en el desafío Azure Sphere, los participantes recibirán recursos que incluyen el kit de desarrollo Azure Sphere, la documentación del producto Azure Sphere, el acceso a los productos y servicios de Microsoft para fines de investigación y la comunicación directa con el equipo de Microsoft.

«Al trabajar con investigadores durante la fase inicial del Laboratorio de seguridad de Azure, descubrimos que los recursos, la documentación y las conexiones más regulares con los participantes del programa y los equipos de Microsoft fueron clave para la divulgación exitosa de la vulnerabilidad coordinada», dice Liu. En base a estos aprendizajes, Microsoft ofrecerá a los participantes canales de comunicación y horarios de oficina semanales con miembros del equipo de ingeniería de Azure Sphere.

«También descubrimos que es valioso aprender tanto de los intentos exitosos como de los intentos fallidos de los investigadores», continúa Liu. «Como resultado, estamos pidiendo a los investigadores que documenten e informen tanto los intentos exitosos como los fracasados ​​en este desafío de investigación».

Microsoft otorgará hasta $ 100,000 en recompensas por dos escenarios específicos durante el período del programa. Una de ellas es la capacidad de ejecutar código en Azure Pluton, el subsistema de seguridad integrado en cada unidad de microcontrolador (MCU) Azure Sphere. Pluton proporciona una raíz de confianza de hardware para el dispositivo conectado en el que se encuentra la MCU. Como parte del proceso de fabricación de chips, se crea una clave única que se utilizará como base para la autenticación y la criptografía.

La plataforma de aplicaciones de Azure Sphere admite dos entornos operativos: Mundo ordinary y Mundo seguro. Las aplicaciones se ejecutan en un contenedor de aplicaciones en modo de usuario Regular Globe, donde pueden acceder a las bibliotecas de Azure Sphere y a una cantidad limitada de servicios del sistema operativo, Microsoft explica. El kernel subyacente de Linux se ejecuta en modo de supervisor Standard Environment Safety Check se ejecuta en Secure World. Solo el código proporcionado por Microsoft puede ejecutarse en modo supervisor o Safe Earth.

Las vulnerabilidades descubiertas fuera del alcance descrito para este desafío de investigación, incluida la porción de la nube, pueden calificar para recibir recompensas bajo el Programa público de recompensas de Azure. Los ataques físicos están fuera del alcance tanto para este desafío como para el programa público, dice Microsoft.

Para lanzar el Azure Sphere Protection Research Challenge, Microsoft se asoció con varias compañías de tecnología que aportan experiencia en la investigación de seguridad de IoT. Estos socios incluyen Avira, Baidu Global Engineering, Bitdefender, Bugcrowd, Cisco Systems (Talos), ESET, FireEye, F-Safe, HackerOne, K7 Computing, McAfee, Palo Alto Networks y Zscaler.

Contenido relacionado:

Kelly Sheridan es la Editora de personalized de Darkish Looking through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Coverage & Know-how, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más thoughts





Enlace a la noticia original