Microsoft pagara hasta $100,000 por vulnerabilidad en Azure Sphere Linux
La gente de Microsoft quiso tirar la casa por la ventana con su reciente anuncio en el cual dio a conocer que está dispuesto a pagar una recompensa de hasta cien mil dólares a aquellos que lleguen a identificar y compartan con ellos las brechas de seguridad que en su plataforma Azure Sphere IoT la cual está construida sobre la base del kernel de Linux y utilizando aislamiento de sandbox para servicios y aplicaciones básicos.
El premio se promete por demostrar vulnerabilidades en el subsistema Pluton (la raíz de la confianza implementada en el chip) o Secure World (sandbox). Esta serie de recompensas son parte de un programa de un nuevo desafío de tres meses y ofrece la recompensa más alta de $ 100,000 a los investigadores que pueden ejecutar código en Azure Pluto y Azure Secure World.
La plataforma de aplicación Azure Sphere incluye Normal World, el equivalente de Linux del modo de usuario, y Secure World, que se encuentra bajo el kernel de Linux personalizado de Microsoft, donde se ejecuta Security Monitor. Solo el código proporcionado por Microsoft puede ejecutarse en modo supervisor o en Secure World, señala Microsoft.
Si desconoces de la plataforma Azure Sphere, debes saber que está diseñada para crear dispositivos de Internet de las cosas (IoT) creados sobre la base de microcontroladores de bajo consumo (MCU, unidades de microcontroladores) con subsistemas periféricos integrados.
Azure Sphere también se usa en equipos minoristas, por ejemplo, empresas como Starbucks. Una de las características de la plataforma es el subsistema Pluton, diseñado para proporcionar hardware para el cifrado, almacenar claves privadas y realizar operaciones criptográficas complejas. Pluton incluye un procesador dedicado separado, un motor criptográfico, un generador de números aleatorios de hardware y un almacén de claves aislado.
La iniciativa está dirigida específicamente a Azure Sphere OS y no incluye subsistemas en la nube que ya están incluidos en un programa de recompensa por separado.
Este nuevo desafío de investigación tiene como objetivo generar una nueva investigación de seguridad de alto impacto en Azure Sphere, una solución integral de seguridad de IoT que ofrece seguridad de extremo a extremo en hardware, sistema operativo y la nube. Si bien Azure Sphere implementa la seguridad por adelantado y de manera predeterminada, Microsoft reconoce que la seguridad no es un evento único.
Los riesgos deben mitigarse constantemente durante la vida útil de una gama de dispositivos y servicios en constante crecimiento. Involucrar a la comunidad de investigación de seguridad para investigar vulnerabilidades de alto impacto antes de que lo hagan los malos es parte del enfoque holístico que Azure Sphere está tomando para minimizar el riesgo.
Para recibir una bonificación, es necesario demostrar una vulnerabilidad que, durante un ataque local (compromiso de la aplicación) o remoto, podría conducir a un código de terceros no autenticado por firma digital, interceptar parámetros de autenticación, aumentar los privilegios, realizar cambios en la configuración o eludir las restricciones del firewall.
Para llevar a cabo el estudio, Microsoft expresó su voluntad de proporcionar a los participantes acceso a productos y servicios, el SDK de Azure Sphere, documentación técnica, así como también proporcionar un canal de comunicación con los desarrolladores de la plataforma.
Microsoft se asoció con varias compañías de tecnología que aportan experiencia en la investigación de seguridad de IoT, para lanzar el Azure Sphere Security Research Challenge, estos socios incluyen Avira, Baidu International Technology, Bitdefender, Bugcrowd, Cisco Systems (Talos), ESET, FireEye, F-Secure, HackerOne, K7 Computing, McAfee, Palo Alto Networks y Zscaler.
Si estás interesado en solicitar acceso a este programa de investigación, debes de rellenar el siguiente formulario de solicitud antes del 15 de mayo de 2020.
Las solicitudes serán revisadas semanalmente y los investigadores aceptados serán notificados por correo electrónico. Este desafío de investigación se extiende desde el 1 de junio de 2020 hasta el 31 de agosto de 2020 para los investigadores aceptados a través de la aplicación abierta.
Finalmente si estás interesado en conocer más al respecto, puedes consultar los detalles en el siguiente enlace.