Microsoft, IoT 버그에 대한 현상금 프로그램 출시

회사는 Azure Sphere에 침입할 수 있는 모든 사람에게 $100,000의 현상금을 제공하고 있습니다.

IoT 제품의 보안을 강화하기 위해 노력하면서 Microsoft는 Azure Sphere에 침입할 수 있는 윤리적인 해커에게 10만 달러의 버그 현상금을 제공했습니다.

이 최신 Sphere Security Research Challenge를 통해 버그 헌터는 침입 시도 중에 회사의 기술 팀과 직접 통신할 수 있습니다.

Microsoft Sphere를 구성하는 세 부분:

• Microsoft에서 만든 맞춤형 Linux 버전인 Sphere OS
• MediaTek, NXP, Qualcomm을 비롯한 회사 파트너가 생산하는 맞춤형 실리콘
• Azure 클라우드에서 실행되는 보안 서비스

Microsoft는 최신 해킹 챌린지에서 2개의 $100,000 상금을 제공했습니다. 회사는 Sphere 마이크로컨트롤러에 대한 신뢰 루트를 제공하는 보안 하위 시스템인 Plutron에 침투하여 코드를 실행하는 데 성공한 최초의 해커에게 1등상을 수여합니다. 시스템은 런타임 서비스를 제공하기 전에 선택한 소프트웨어 구성 요소를 로드하는 보안 부팅 프로세스를 실행합니다.

Secure World에 침투하여 코드를 실행하는 첫 번째 해커가 2등을 차지합니다. Sphere의 작동 모드 중 하나인 단단히 잠긴 Secure World는 Microsoft 작성 코드만 실행하도록 허용합니다. 보안 모니터는 메모리와 같은 민감한 하드웨어를 보호하고 Pluton에 대한 액세스를 제어합니다.

참가자는 장치를 물리적으로 공격하지 않는 것과 같은 특정 조건을 준수해야 합니다. Microsoft는 또한 기존 Azure 버그 바운티 프로그램에 해당하는 다른 공격에 대해 최대 20%의 보너스 지급과 함께 더 낮은 지급금을 지급할 예정입니다. 적격 공격에는 다음이 포함됩니다.

• 네트워크에서 코드 실행(Linux 네트워킹 데몬)
• 위장 기기 인증
• 예기치 않은 권한 상승
• 필요하지 않은 소프트웨어 및 구성 옵션을 변경하거나 마이크로프로세서 하드웨어에 내장된 방화벽을 변경하여 Sphere 기기가 승인되지 않은 대상과 통신하도록 하는 행위

챌린지는 2020년 6월 1일부터 8월 31일까지 진행됩니다.