Microsoft lanza programa de recompensas por errores de IoT
La empresa ofrece una recompensa de 100 000 $ a cualquiera que pueda acceder a Azure Sphere.
Mientras trabaja para mejorar la seguridad de sus productos IoT, Microsoft ha ofrecido una recompensa por errores de $ 100,000 a los piratas informáticos éticos que pueden ingresar a Azure Sphere.
Este último desafío de investigación de seguridad de Esfera permite a los cazadores de errores comunicarse directamente con el equipo técnico de la empresa durante sus intentos de allanamiento.
Tres partes componen Microsoft Sphere:
- Sphere OS, una versión personalizada de Linux creada por Microsoft
- Silicio personalizado producido por los socios de la empresa, incluidos MediaTek, NXP y Qualcomm
- Un servicio de seguridad que se ejecuta en la nube de Azure
Microsoft ha ofrecido dos premios de 100.000 dólares en su último desafío de piratería. La compañía otorgará el primer premio al primer hacker exitoso que se infiltre en Plutron, un subsistema de seguridad que proporciona una raíz de confianza al microcontrolador Sphere, y ejecute el código. El sistema ejecuta un proceso de arranque seguro que carga componentes de software seleccionados antes de proporcionar servicios de tiempo de ejecución.
El primer hacker que se infiltra en Secure World y ejecuta el código gana el segundo premio. Uno de los modos operativos de Sphere, Secure World, estrictamente bloqueado, solo permite que se ejecute el código escrito por Microsoft. Un monitor de seguridad protege hardware sensible como la memoria y controla el acceso a Pluton.
Los concursantes deben cumplir con ciertas condiciones, como no atacar físicamente el dispositivo. Microsoft también otorgará pagos más bajos por otros ataques que se incluyen en su programa de recompensas por errores de Azure existente, con pagos de bonificación de hasta el 20%. Los ataques calificados incluyen:
- Ejecución de código en redes (un demonio de red de Linux)
- Autenticación de dispositivos de suplantación de identidad
- Elevación inesperada de privilegios
- Alterar el software y las opciones de configuración que no se supone que debe hacer, o alterar el firewall integrado en el hardware del microprocesador y hacer que un dispositivo Sphere se comunique con un destino no autorizado
El desafío se desarrollará del 1 de junio al 31 de agosto de 2020.
Tecnología de Internet de las cosas
- El camino hacia la seguridad industrial de IoT
- ¿Por qué Edge Computing para IoT?
- La búsqueda de un estándar de seguridad de IoT universal
- Seguridad de IoT:¿de quién es la responsabilidad?
- Casos de uso geniales de IoT:nuevos mecanismos de seguridad para automóviles en red
- Seguridad de IoT:¿una barrera para la implementación?
- Por qué la seguridad de IoT debe ser un enfoque central de [RAN, borde] para los operadores de red
- Tres pasos para la seguridad global de IoT
- Una guía de cuatro pasos para garantizar la seguridad de los dispositivos Iot
- Qué significa la llegada de 5G para la seguridad de IoT
- NIST publica borrador de recomendaciones de seguridad para fabricantes de IoT