La
sicurezza dei dispositivi IoT è sempre un grande punto interrogativo. E i grandi vendor, anche di piattaforme software, hanno seguito strade diverse per garantirla. Ora
Microsoft sfida gli esperti di cyber security a mettere alla prova la propria. Parliamo di
Azure Sphere, l'ambiente che la casa di Redmond
ha sviluppato coprendo allo stesso tempo la parte hardware dei device, il sistema operativo e le componenti cloud.
Microsoft ammette però che la cyber security è un lavoro continuo. "
Anche se Azure Sphere implementa la sicurezza immediatamente e by default - si
spiega -
coinvolgere la community nella ricerca di vulnerabilità ad alto impatto prima che lo facciano i cattivi fa parte dell'approccio olistico che Azure Sphere segue per minimizzare il rischio".
Nasce così la
Azure Sphere Security Research Challenge. Per tre mesi i ricercatori di cyber security sono invitati ad attaccare la piattaforma Microsoft per l'IoT. Nello specifico, ad attaccare
la parte del sistema operativo dei device IoT. L'approccio definito da Microsoft prevede che questi utilizzino processori Arm Cortex-A. Che si proteggono con due funzioni principali integrate a livello di micro-architettura.
La prima è
Pluton. Una unità hardware di sicurezza che comprende un processore specifico per la security e delle unità crittografiche. È in sintesi una "
root of trust" che garantisce l'esecuzione solo di
codice sicuro a bordo del device. Chi riuscirà ad eseguire codice aggirando i controlli di Pluton potrà vincere una "taglia" da centomila dollari.
Il secondo fondamentale componente di sicurezza dei device Azure Sphere è la compartimentalizzazione delle operazioni. I device IoT prevedono, nell'approccio Microsoft, due livelli di funzionamento. In pratica, il processore Arm esegue una versione specifica di Linux -
Azure Sphere OS - che gestisce le applicazioni utente come piccoli container. Questi container e il kernel del sistema operativo "vivono" in un ambiente operativo detto
Normal World.
Lo Speciale di SecurityOpenLab sulla sicurezza delle infrastrutture critiche.
C'è però un secondo ambiente operativo, detto
Secure World, completamente distinto dal primo. Qui si esegue solo il
Security Monitor. Un modulo software Microsoft che
controlla l'accesso alle risorse del sistema. Come memoria, storage e Pluton stesso. È il Security Monitor che avvia il processo di boot e isola il Normal World dall'hardware e se necessario anche dal mondo esterno. Anche chi riuscirà ad eseguire codice all'interno del Secure World potrà guadagnare centomila dollari.
Per partecipare al cracking del cuore di Azure Sphere OS e dei device IoT basta
registrarsi.
La concorrenza non è da sottovalutare. Microsoft segnala infatti che sta coinvolgendo nella challenge anche diversi suoi partner di cyber security. I nomi citati sono Avira, Baidu, Bitdefender, Bugcrowd, Cisco, ESET, FireEye, F-Secure Corporation, HackerOne, K7 Computing, McAfee, Palo Alto Networks, Zscaler.