Microsoft realmente quiere que el Internet de las cosas (IoT) sea seguro, y está solicitando la ayuda de expertos para hacerlo. La empresa acaba de lanzar un programa de recompensas por errores (bug bounty) de 100.000 $ para quien pueda hackear Azure Sphere, su sistema de seguridad para dispositivos IoT.
Microsoft anunció por primera vez Sphere en la conferencia RSA en abril de 2018. Es un ecosistema IoT que abarca tanto los dispositivos conectados como el servicio en la nube que los controla.
En agosto del año siguiente, lanzó Azure Security Lab, que ofrece recursos a hackers éticos y propone desafíos de investigación de seguridad. El último, el Sphere Security Research Challenge, permite a los cazadores de errores hablar directamente con el equipo técnico de Microsoft mientras intentan entrar en Sphere.
Microsoft Sphere consta de tres partes. La primera es Sphere OS, una versión personalizada reforzada de Linux producida por Microsoft. Se ejecuta en el segundo componente, chips personalizados producidos por socios de Microsoft, incluidos MediaTek, NXP y Qualcomm. Se comunica con la tercera parte, que es un servicio de seguridad de Sphere que se ejecuta en la nube de Azure que administra la seguridad a una serie de dispositivos conectados. Ese servicio basado en la nube utiliza certificados digitales para autenticar dispositivos conectados, y también gestiona servicios seguros de actualización de dispositivos.
Los fabricantes de IoT pueden construir el chip y el sistema operativo Sphere en sus propios dispositivos (lo que podría hacer si fuera a producir un dispositivo nuevo para una implementación masiva) o pueden conectar el hardware IoT existente a través de un módulo de puerta de enlace basado en Sphere desarrollado por Microsoft.
Hay dos premios de 100.000 $. El primero es para cualquiera que pueda ejecutar código en Pluton, que es el subsistema de seguridad que proporciona una raíz de confianza (root of trust) en el microcontrolador Sphere. Este sistema, que presenta medidas de seguridad que Microsoft desarrolló al construir el chip de la XBox, ejecuta un proceso de arranque seguro que carga otros componentes de software antes de proporcionar servicios de tiempo de ejecución.
El segundo premio de 100.000 $ es para cualquiera que pueda ejecutar código en Secure World. Este es uno de los dos modos de funcionamiento para dispositivos Sphere, y es un modo de acceso restringido que solo ejecuta código proporcionado por Microsoft. El Monitor de seguridad que se ejecuta en Secure World brinda acceso a Pluton y protege hardware sensible como la memoria. Las aplicaciones de usuario se ejecutan en un área menos restringida del sistema operativo Sphere conocida como Normal World.
Esta no es una recompensa de errores abierta para todos. Es una iniciativa de tres meses desde el 1 de junio hasta el 31 de agosto y está abierta solo si se solicita. Las partes interesadas deben presentar una solicitud antes del 15 de mayo de 2020. Los escenarios de ataque también están restringidos (por ejemplo, no se puede atacar físicamente el dispositivo).
El desafío Sphere también enumera varios ataques que no ganarán el premio de 100.000 $ pero que generarán pagos bajo el programa de recompensas por errores existente de Microsoft para Azure, con pagos de bonificación de hasta el 20%. Estos incluyen ejecutar código en networkd (un daemon de red Linux), falsificación de autenticación de dispositivo o elevación inesperada de privilegios. Si puedes modificar el software y las opciones de configuración que se supone que no debes, o alterar el firewall integrado en el hardware del microprocesador y hacer que un dispositivo Sphere se comunique con un destino no autorizado, también obtendrás una recompensa.