Microsoft anuncia un programa limitado de recompensas por errores de Azure Sphere
Microsoft ha anunciado un nuevo programa de investigación de seguridad/recompensa por errores destinado a probar y mejorar la seguridad de Azure Sphere, su solución integral de seguridad de IoT.
El desafío comenzará el 1 de junio de 2020 y durará tres meses. Los aspirantes a participantes deben presentar su solicitud antes del 15 de mayo de 2020.
¿Qué es Azure Sphere?
"Azure Sphere es una plataforma de aplicaciones segura de alto nivel con funciones integradas de comunicación y seguridad para dispositivos conectados a Internet", explica Microsoft.
Consiste en una unidad de microcontrolador (MCU) conectada y segura, un sistema operativo personalizado de alto nivel basado en Linux (el sistema operativo Azure Sphere) y un servicio de seguridad basado en la nube que proporciona seguridad continua y renovable (el servicio de seguridad Azure Sphere).
A través del Servicio de seguridad Azure Sphere, la MCU puede conectarse de forma segura a la nube y a la web, y el servicio se asegura de que el software arrancado sea genuino, que las actualizaciones de seguridad del sistema operativo se descarguen e instalen de forma segura y automática.
Acerca del programa de recompensas de errores de Azure Sphere
Este nuevo programa de recompensas de errores, o, como Microsoft lo llama, desafío de investigación de seguridad, es una expansión de Azure Security Lab y se centrará en el sistema operativo Azure Sphere.
"Las vulnerabilidades encontradas fuera del alcance del desafío de investigación, incluida la parte de la nube, pueden ser elegibles para los premios públicos del Programa Azure Bounty", señaló la compañía .
Los investigadores que demuestren la capacidad de ejecutar código en Pluton, el subsistema de seguridad que implementa una raíz de confianza basada en hardware para Azure Sphere, o Secure World, el entorno operativo Secure World de las plataformas de aplicaciones, serán elegibles para recibir hasta $ 100,000 por su esfuerzos.
Los informes sobre vulnerabilidades de seguridad que podrían conducir a la ejecución de código sin firmar que no sea pura programación orientada al retorno (ROP), falsificación de autenticación del dispositivo, alteración del firewall, etc. , también serán recompensados.
"Si bien Azure Sphere implementa la seguridad por adelantado y de manera predeterminada, Microsoft reconoce que la seguridad no es un evento único", señaló el equipo de MSRC.
“Los riesgos deben mitigarse de manera constante durante la vida útil de una gama de dispositivos y servicios en constante crecimiento. Involucrar a la comunidad de investigación de seguridad para investigar vulnerabilidades de alto impacto antes de que lo hagan los malos es parte del enfoque holístico que Azure Sphere está tomando para minimizar el riesgo ".
El desafío comenzará el 1 de junio de 2020 y durará tres meses. Los aspirantes a participantes deben presentar su solicitud antes del 15 de mayo de 2020.
¿Qué es Azure Sphere?
"Azure Sphere es una plataforma de aplicaciones segura de alto nivel con funciones integradas de comunicación y seguridad para dispositivos conectados a Internet", explica Microsoft.
Consiste en una unidad de microcontrolador (MCU) conectada y segura, un sistema operativo personalizado de alto nivel basado en Linux (el sistema operativo Azure Sphere) y un servicio de seguridad basado en la nube que proporciona seguridad continua y renovable (el servicio de seguridad Azure Sphere).
A través del Servicio de seguridad Azure Sphere, la MCU puede conectarse de forma segura a la nube y a la web, y el servicio se asegura de que el software arrancado sea genuino, que las actualizaciones de seguridad del sistema operativo se descarguen e instalen de forma segura y automática.
Acerca del programa de recompensas de errores de Azure Sphere
Este nuevo programa de recompensas de errores, o, como Microsoft lo llama, desafío de investigación de seguridad, es una expansión de Azure Security Lab y se centrará en el sistema operativo Azure Sphere.
"Las vulnerabilidades encontradas fuera del alcance del desafío de investigación, incluida la parte de la nube, pueden ser elegibles para los premios públicos del Programa Azure Bounty", señaló la compañía .
Los investigadores que demuestren la capacidad de ejecutar código en Pluton, el subsistema de seguridad que implementa una raíz de confianza basada en hardware para Azure Sphere, o Secure World, el entorno operativo Secure World de las plataformas de aplicaciones, serán elegibles para recibir hasta $ 100,000 por su esfuerzos.
Los informes sobre vulnerabilidades de seguridad que podrían conducir a la ejecución de código sin firmar que no sea pura programación orientada al retorno (ROP), falsificación de autenticación del dispositivo, alteración del firewall, etc. , también serán recompensados.
"Si bien Azure Sphere implementa la seguridad por adelantado y de manera predeterminada, Microsoft reconoce que la seguridad no es un evento único", señaló el equipo de MSRC.
“Los riesgos deben mitigarse de manera constante durante la vida útil de una gama de dispositivos y servicios en constante crecimiento. Involucrar a la comunidad de investigación de seguridad para investigar vulnerabilidades de alto impacto antes de que lo hagan los malos es parte del enfoque holístico que Azure Sphere está tomando para minimizar el riesgo ".
Comentarios
Publicar un comentario