$100 000 награда за хакване на Azure Sphere OS

Microsoft разширява програмата си за търсене на уязвимости в рамките на Azure Security Lab, обявена на миналогодишната конференция Black Hat. Тогава корпорацията повиши максималното изплащане за намерени грешки до 40 хил. долара. Сега сумата се покачва до 100 хил. долара.

Microsoft често организира специални конкурси за намиране на проблеми в конкретни продукти и работни сценарии. Този път компанията предлага на специалистите по сигурност да тестват защитата на Azure Sphere OS – първата публично достъпна ОС на Microsoft, базирана на Linux ядро.

Azure Sphere OS е предназначена за индустриалния интернет на нещата (IoT). Хардуерната и софтуерната платформа включва одобрена от Microsoft специализирана SoC (система на чип) с вградени инструменти за сигурност и комуникация, която управлява операционната система и се свързва директно с облака Azure.

Microsoft приканва специалистите по сигурност да изследват сигурността на операционната система, а не да атакуват облака или хардуера. По-конкретно, на прицел са два компонента.

Първият е подсистемата за сигурност Microsoft Pluton. Тя отговаря за генерирането и съхранението на крипто-ключове, включва генератор на случайни числа и ускорител на криптографските функции. Подсистемата работи върху отделно ядро, а уникалната двойка ключове, която впоследствие помага да се идентифицира и обезопаси конкретен чип, се генерира от Pluton по време на производството на SoC, съхранява се завинаги в нея и не е достъпна отвън. Подсистемата е отговорна и за откриване на опити за намеса в платформата.

[related-posts]

Вторият компонент е сигурният „пясъчник” Secure World, в който могат да се изпълняват само приложения от Microsoft, по-специално мониторът на сигурността.

На пръв поглед цялата тази верига е доста добре защитена. Точно това трябва да установят изследователите. Ако някой успее да хакне защитата на един от двата компонента и да пусне свой собствен код, Microsoft ще го възнагради с до 100 хиляди долара.