Microsoft запускает программу вознаграждений за ошибки IoT
Компания предлагает вознаграждение в размере 100 000 долларов США каждому, кто сможет проникнуть в Azure Sphere.
Работая над повышением безопасности своих продуктов IoT, Microsoft предложила награду в размере 100 000 долларов США для этичных хакеров, которые смогут взломать Azure Sphere.
Этот последний вызов Sphere Security Research Challenge позволяет охотникам за ошибками напрямую общаться с технической командой компании во время их попыток взлома.
Три части составляют Microsoft Sphere:
- Операционная система Sphere, специальная версия Linux, созданная Microsoft.
- Кремний, изготовленный на заказ партнерами компании, включая MediaTek, NXP и Qualcomm.
- Служба безопасности, работающая в облаке Azure.
Microsoft предложила два приза по 100 000 долларов в своем последнем хакерском состязании. Компания присудит первый приз первому успешному хакеру, который проникнет в Plutron — подсистему безопасности, которая обеспечивает корень доверия к микроконтроллеру Sphere — и выполнит код. В системе выполняется безопасный процесс загрузки, который загружает выбранные программные компоненты перед предоставлением служб времени выполнения.
Первый хакер, который проникнет в Secure World и запустит код, получит второй приз. Один из режимов работы Sphere, строго закрытый безопасный мир, позволяет запускать только код, написанный Microsoft. Монитор безопасности защищает чувствительное оборудование, такое как память, и контролирует доступ к Pluton.
Участники должны соблюдать определенные условия, например не атаковать устройство физически. Microsoft также будет присуждать более низкие выплаты за другие атаки, подпадающие под действие существующей программы вознаграждения за обнаружение ошибок Azure, с бонусными выплатами до 20%. Квалификационные атаки включают:
- Запуск кода в сети (сетевой демон Linux)
- Подмена аутентификации устройства
- Неожиданное повышение привилегий
- Изменение программного обеспечения и параметров конфигурации, которые вы не должны делать, или изменение брандмауэра, встроенного в аппаратное обеспечение микропроцессора, с целью заставить устройство Sphere взаимодействовать с неавторизованным пунктом назначения
Конкурс будет проходить с 1 июня по 31 августа 2020 г.
Интернет вещей
- Путь к промышленной безопасности Интернета вещей
- Почему периферийные вычисления для Интернета вещей?
- Поиск универсального стандарта безопасности IoT
- Безопасность Интернета вещей - кто за это отвечает?
- Примеры использования Интернета вещей:новые механизмы безопасности для сетевых автомобилей
- Безопасность Интернета вещей - препятствие для развертывания?
- Почему безопасность Интернета вещей должна быть в центре внимания [RAN, edge] сетевых операторов
- Три шага для глобальной безопасности Интернета вещей
- Четырехэтапное руководство по обеспечению безопасности для Iot-устройств
- Что означает появление 5G для безопасности Интернета вещей