Microsoft startet Bounty-Programm für IoT-Bugs
Das Unternehmen bietet jedem, der in Azure Sphere einbrechen kann, ein Kopfgeld in Höhe von 100.000 $.
Um die Sicherheit seiner IoT-Produkte zu verbessern, hat Microsoft ethischen Hackern, die in Azure Sphere eindringen können, eine Bug-Prämie in Höhe von 100.000 US-Dollar ausgesetzt.
Diese neueste Sphere Security Research Challenge ermöglicht es den Bug-Jägern, während ihrer Einbruchsversuche direkt mit dem technischen Team des Unternehmens zu kommunizieren.
Microsoft Sphere besteht aus drei Teilen:
- Sphere OS, eine benutzerdefinierte Version von Linux, die von Microsoft erstellt wurde
- Kundenspezifisches Silizium, hergestellt von den Partnern des Unternehmens, darunter MediaTek, NXP und Qualcomm
- Ein Sicherheitsdienst, der in der Azure-Cloud ausgeführt wird
Microsoft hat bei seiner neuesten Hacking-Herausforderung zwei Preise in Höhe von 100.000 US-Dollar ausgelobt. Das Unternehmen vergibt den ersten Preis an den ersten erfolgreichen Hacker, der Plutron – ein Sicherheits-Subsystem, das dem Sphere-Mikrocontroller eine Vertrauensbasis bietet – infiltriert und Code ausführt. Das System führt einen sicheren Startvorgang aus, der ausgewählte Softwarekomponenten lädt, bevor Laufzeitdienste bereitgestellt werden.
Der erste Hacker, der Secure World infiltriert und Code ausführt, gewinnt den zweiten Preis. Einer der Betriebsmodi von Sphere, die streng gesperrte Secure World, lässt nur die Ausführung von Microsoft-geschriebenem Code zu. Ein Sicherheitsmonitor schützt sensible Hardware wie Arbeitsspeicher und kontrolliert den Zugriff auf Pluton.
Die Teilnehmer müssen bestimmte Bedingungen einhalten, wie z. B. das Gerät nicht physisch anzugreifen. Microsoft wird auch niedrigere Auszahlungen für andere Angriffe gewähren, die unter sein bestehendes Azure-Bug-Bounty-Programm fallen, mit Bonuszahlungen von bis zu 20 %. Zu den qualifizierten Angriffen gehören:
- Ausführen von Code in Netzwerken (ein Linux-Netzwerk-Daemon)
- Spoofing-Geräteauthentifizierung
- Unerwartete Rechteerweiterung
- Ändern von Software- und Konfigurationsoptionen, die Sie nicht sollten, oder Ändern der in die Mikroprozessorhardware integrierten Firewall und Veranlassen, dass ein Sphere-Gerät mit einem nicht autorisierten Ziel kommuniziert
Die Challenge läuft vom 1. Juni bis 31. August 2020.
Internet der Dinge-Technologie
- Der Weg zur industriellen IoT-Sicherheit
- Warum Edge Computing für das IoT?
- Die Suche nach einem universellen IoT-Sicherheitsstandard
- IoT-Sicherheit – wer ist dafür verantwortlich?
- Coole IoT-Anwendungsfälle:Neue Sicherheitsmechanismen für vernetzte Autos
- IoT-Sicherheit – Ein Hindernis für die Bereitstellung?
- Warum IoT-Sicherheit ein [RAN, Edge]-Kernfokus für Netzwerkbetreiber sein muss
- Drei Schritte für globale IoT-Sicherheit
- Eine vierstufige Anleitung zur Gewährleistung der Sicherheit von IoT-Geräten
- Was die Einführung von 5G für die IoT-Sicherheit bedeutet