Microsoft Luncurkan Program Bounty untuk Bug IoT
Perusahaan ini menawarkan hadiah $100.000 kepada siapa saja yang dapat membobol Azure Sphere.
Saat bekerja untuk meningkatkan keamanan produk IoT-nya, Microsoft telah menawarkan hadiah bug senilai $ 100.000 kepada peretas etis yang dapat membobol Azure Sphere.
Tantangan Penelitian Keamanan Sphere terbaru ini memungkinkan pemburu bug berkomunikasi langsung dengan tim teknis perusahaan selama upaya pembobolan mereka.
Tiga bagian terdiri dari Microsoft Sphere:
- Sphere OS, versi khusus Linux yang dibuat oleh Microsoft
- Silikon khusus yang diproduksi oleh mitra perusahaan termasuk MediaTek, NXP, dan Qualcomm
- Layanan keamanan yang berjalan di cloud Azure
Microsoft telah menawarkan dua hadiah $100.000 dalam tantangan peretasan terbarunya. Perusahaan akan memberikan hadiah pertama kepada peretas pertama yang berhasil menyusup ke Plutron — subsistem keamanan yang memberikan akar kepercayaan ke mikrokontroler Sphere — dan mengeksekusi kode. Sistem menjalankan proses boot aman yang memuat komponen perangkat lunak tertentu sebelum menyediakan layanan runtime.
Peretas pertama yang menyusup ke Secure World dan menjalankan kode memenangkan hadiah kedua. Salah satu mode operasi Sphere, Secure World yang terkunci rapat hanya mengizinkan kode yang ditulis Microsoft untuk dijalankan. Monitor keamanan melindungi perangkat keras sensitif seperti memori dan mengontrol akses ke Pluton.
Kontestan harus mematuhi persyaratan tertentu, seperti tidak menyerang perangkat secara fisik. Microsoft juga akan memberikan pembayaran yang lebih rendah untuk serangan lain yang termasuk dalam program hadiah bug Azure yang ada, dengan pembayaran bonus hingga 20%. Serangan yang memenuhi syarat meliputi:
- Menjalankan kode di jaringan (daemon jaringan Linux)
- Otentikasi perangkat spoofing
- Peningkatan hak istimewa yang tidak terduga
- Mengubah perangkat lunak dan opsi konfigurasi yang tidak seharusnya Anda lakukan, atau mengubah firewall yang terpasang di dalam perangkat keras mikroprosesor dan menyebabkan perangkat Sphere berkomunikasi dengan tujuan yang tidak sah
Tantangan ini akan berlangsung dari 1 Juni hingga 31 Agustus 2020.
