Microsoft розширює програму пошуку вразливостей в рамках Azure Security Lab, анонсовану на минулорічній конференції Black Hat. Тоді, нагадаємо, корпорація підняла максимальний розмір виплат за знайдені баги до $ 40 тис. Крім того, іноді організовуються спеціальні змагання з пошуку проблем в конкретних продуктах і сценаріях роботи.
На цей раз Microsoft пропонує «перевірити на міцність» Azure Sphere OS – першу в історії компанії публічно доступну ОС на базі ядра Linux.
Azure Sphere OS призначена для індустріального Інтернету речей. Програмно-апаратна платформа включає схвалену Microsoft спеціалізовану SoC з вбудованими засобами безпеки та зв’язку, на якій запускається ОС і яка підключається безпосередньо до хмари Azure. В даному випадку Microsoft хоче, щоб дослідники вивчили безпеку саме ОС, а не намагалися атакувати хмарну або апаратну частини.
Якщо точніше, мова йде про двох компонентах. Перший – підсистема безпеки Microsoft Pluton. Вона відповідає за генерацію і зберігання кріптоключа, включає в себе генератор істинно випадкових чисел і акселератор криптографічних функцій. Працює вона на окремому ядрі, а унікальна пара ключів, яка згодом допоможе ідентифікувати і убезпечити конкретний чіп, генерується Pluton ще під час виготовлення SoC, назавжди зберігається в її надрах і не доступна зовні. Підсистема відповідає і за виявлення спроб втручання в роботу платформи.
Другий компонент – безпечна «пісочниця» Secure World, де можуть виконуватися тільки додатки від самої Microsoft, зокрема, монітор безпеки. На перший погляд весь цей ланцюжок досить добре захищеною. Однак саме це і належить з’ясувати дослідникам. За злом захисту будь-якого з цих двох компонентів і запуск власного коду корпорація готова заплатити до $ 100 тис.