Microsoft lance un programme Bounty pour les bugs IoT
L'entreprise offre une prime de 100 000 USD à toute personne pouvant pénétrer dans Azure Sphere.
Alors qu'il s'efforce d'améliorer la sécurité de ses produits IoT, Microsoft a offert une prime de bogue de 100 000 $ aux pirates éthiques qui peuvent s'introduire dans Azure Sphere.
Ce dernier Sphere Security Research Challenge permet aux chasseurs de bogues de communiquer directement avec l'équipe technique de l'entreprise lors de leurs tentatives d'effraction.
Trois parties composent Microsoft Sphere :
- Sphere OS, une version personnalisée de Linux créée par Microsoft
- Silicium personnalisé produit par les partenaires de l'entreprise, dont MediaTek, NXP et Qualcomm
- Un service de sécurité qui s'exécute dans le cloud Azure
Microsoft a offert deux prix de 100 000 $ dans son dernier défi de piratage. La société décernera le premier prix au premier pirate réussi à infiltrer Plutron - un sous-système de sécurité qui fournit une racine de confiance au microcontrôleur Sphere - et à exécuter du code. Le système exécute un processus de démarrage sécurisé qui charge certains composants logiciels avant de fournir des services d'exécution.
Le premier hacker qui infiltre Secure World et exécute du code remporte le deuxième prix. L'un des modes de fonctionnement de Sphere, Secure World, étroitement verrouillé, permet uniquement l'exécution de code écrit par Microsoft. Un moniteur de sécurité protège le matériel sensible comme la mémoire et contrôle l'accès à Pluton.
Les participants doivent respecter certaines conditions, comme ne pas attaquer physiquement l'appareil. Microsoft accordera également des paiements inférieurs pour d'autres attaques qui relèvent de son programme Azure Bug Bounty existant, avec des primes pouvant atteindre 20 %. Les attaques éligibles incluent :
- Exécuter du code sur des réseaux (un démon réseau Linux)
- Usurpation de l'authentification de l'appareil
- Élévation inattendue des privilèges
- Modifier les logiciels et les options de configuration que vous n'êtes pas censé modifier, ou modifier le pare-feu intégré au matériel du microprocesseur et amener un appareil Sphere à communiquer avec une destination non autorisée
Le défi se déroulera du 1er juin au 31 août 2020.
Technologie de l'Internet des objets
- La route vers la sécurité industrielle de l'IoT
- Pourquoi l'informatique de pointe pour l'IoT ?
- La recherche d'une norme de sécurité IoT universelle
- Sécurité de l'IoT :à qui incombe la responsabilité ?
- Cas d'utilisation sympas de l'IoT :nouveaux mécanismes de sécurité pour les voitures en réseau
- Sécurité IoT – Un obstacle au déploiement ?
- Pourquoi la sécurité IoT doit être une priorité [RAN, edge] pour les opérateurs de réseau
- Trois étapes pour la sécurité globale de l'IoT
- Un guide en quatre étapes pour l'assurance de la sécurité des périphériques Iot