SecurityOpenLab

Microsoft e IoT: centomila dollari a chi viola Azure Sphere

Chi riuscirà a violare la sicurezza della piattaforma IoT Azure Sphere potrà vincere una grossa somma. Il punto chiave è la sicurezza in hardware.

La sicurezza dei dispositivi IoT è sempre un grande punto interrogativo. E i grandi vendor, anche di piattaforme software, hanno seguito strade diverse per garantirla. Ora Microsoft sfida gli esperti di cyber security a mettere alla prova la propria. Parliamo di Azure Sphere, l'ambiente che la casa di Redmond ha sviluppato coprendo allo stesso tempo la parte hardware dei device, il sistema operativo e le componenti cloud.

Microsoft ammette però che la cyber security è un lavoro continuo. "Anche se Azure Sphere implementa la sicurezza immediatamente e by default - si spiega - coinvolgere la community nella ricerca di vulnerabilità ad alto impatto prima che lo facciano i cattivi fa parte dell'approccio olistico che Azure Sphere segue per minimizzare il rischio".

Nasce così la Azure Sphere Security Research Challenge. Per tre mesi i ricercatori di cyber security sono invitati ad attaccare la piattaforma Microsoft per l'IoT. Nello specifico, ad attaccare la parte del sistema operativo dei device IoT. L'approccio definito da Microsoft prevede che questi utilizzino processori Arm Cortex-A. Che si proteggono con due funzioni principali integrate a livello di micro-architettura.

iot technology concept city transport smart 157560 1La prima è Pluton. Una unità hardware di sicurezza che comprende un processore specifico per la security e delle unità crittografiche. È in sintesi una "root of trust" che garantisce l'esecuzione solo di codice sicuro a bordo del device. Chi riuscirà ad eseguire codice aggirando i controlli di Pluton potrà vincere una "taglia" da centomila dollari.

Il secondo fondamentale componente di sicurezza dei device Azure Sphere è la compartimentalizzazione delle operazioni. I device IoT prevedono, nell'approccio Microsoft, due livelli di funzionamento. In pratica, il processore Arm esegue una versione specifica di Linux - Azure Sphere OS - che gestisce le applicazioni utente come piccoli container. Questi container e il kernel del sistema operativo "vivono" in un ambiente operativo detto Normal World.
Lo Speciale di SecurityOpenLab sulla sicurezza delle infrastrutture critiche.
C'è però un secondo ambiente operativo, detto Secure World, completamente distinto dal primo. Qui si esegue solo il Security Monitor. Un modulo software Microsoft che controlla l'accesso alle risorse del sistema. Come memoria, storage e Pluton stesso. È il Security Monitor che avvia il processo di boot e isola il Normal World dall'hardware e se necessario anche dal mondo esterno. Anche chi riuscirà ad eseguire codice all'interno del Secure World potrà guadagnare centomila dollari.

Per partecipare al cracking del cuore di Azure Sphere OS e dei device IoT basta registrarsi. La concorrenza non è da sottovalutare. Microsoft segnala infatti che sta coinvolgendo nella challenge anche diversi suoi partner di cyber security. I nomi citati sono Avira, Baidu, Bitdefender, Bugcrowd, Cisco, ESET, FireEye, F-Secure Corporation, HackerOne, K7 Computing, McAfee, Palo Alto Networks, Zscaler.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Redazione SecurityOpenLab - 07/05/2020

Tag: azure microsoft iot cifratura


Top trend

CoronaVirus
Ransomware
Phishing
Malware
Botnet
Vulnerabilità
Data Breach
IoT
Cyberwarfare



End of content

No more pages to load

Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo della sicurezza

iscriviti

Redazione | Pubblicità | Contattaci | Copyright

SecurityOpenLab

SecurityOpenLab e' un canale di BitCity,
testata giornalistica registrata presso il tribunale di Como,
n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L.
Sede Legale Via Nuova Valassina, 4 22046 Merone (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 Capitale Sociale Euro 30.000 i.v.

Cookie | Privacy

statistiche contatore