Корпорация Microsoft подвела итоги состязания в области информационной безопасности Azure Sphere Security Research Challenge, участники которого занимались поиском уязвимостей в операционной системе Azure Sphere. Эта платформа на ядре Linux ориентирована на применение в области промышленного Интернета вещей (IoT).

Целью соревнования Azure Sphere Security Research Challenge было сосредоточить внимание исследователей на том, что оказывает наибольшее влияние на безопасность клиентов. В состязании приняли участие ведущие эксперты в области кибербезопасности, а также специалисты компаний, разрабатывающих защитные решения.

Участники конкурса, помимо публично доступного кода ядра операционной системы, получили в своё распоряжение комплект разработчика. Им была предоставлена прямая связь с командой обеспечения безопасности ОС и поддержка по электронной почте.

Соревнование длилось три месяца, а участие в нём приняли 70 исследователей из 21 страны. С их стороны поступили 40 заявок, 30 из которых привели к улучшению продукта. Вознаграждение присуждено за обнаружение 16 недоработок и уязвимостей. Минимальная сумма выплат составила $3300, максимальная — $48 000. Общий размер призового фонда достиг $374 300.

«В ходе исследования экспертам удалось обнаружить 20 важных уязвимостей в области безопасности, которые были исправлены в выпусках обновлений 20.07, 20.08 и 20.09», — отмечает Microsoft.

Microsoft расширяет программу поиска уязвимостей в рамках Azure Security Lab, анонсированную на прошлогодней конференции Black Hat. Тогда, напомним, корпорация подняла максимальный размер выплат за найденные баги до $40 тыс. Кроме того, иногда организуются специальные соревнования по поиску проблем в конкретных продуктах и сценариях работы.

На этот раз Microsoft предлагает «проверить на прочность» Azure Sphere OS — первую в истории компании публично доступную ОС на базе ядра Linux.

Azure Sphere OS предназначена для индустриального Интернета вещей. Программно-аппаратная платформа включает одобренную Microsoft специализированную SoC со встроенными средствами безопасности и связи, на которой запускается ОС и которая подключается непосредственно к облаку Azure. В данном случае Microsoft хочет, чтобы исследователи изучили безопасность именно ОС, а не пытались атаковать облачную или аппаратную части.

Если точнее, речь идёт о двух компонентах. Первый — подсистема безопасности Microsoft Pluton. Она отвечает за генерацию и хранение криптоключей, включает в себя генератор истинно случайных чисел и акселератор криптографических функций. Работает она на отдельном ядре, а уникальная пара ключей, которая впоследствии поможет идентифицировать и обезопасить конкретный чип, генерируется Pluton ещё во время изготовления SoC, навсегда сохраняется в её недрах и не доступна снаружи. Подсистема отвечает и за обнаружение попыток вмешательства в работу платформы.

Второй компонент — безопасная «песочница» Secure World, где могут выполняться только приложения от самой Microsoft, в частности, монитор безопасности. На первый взгляд вся эта цепочка достаточно хорошо защищённой. Однако именно это и предстоит выяснить исследователям. За взлом защиты любого из этих двух компонентов и запуск собственного кода корпорация готова заплатить до $100 тыс.

На этой неделе вышла новая предварительная версия Microsoft Azure Sphere под номером 19.11, которая получила дополнение в виде Linux SDK с Visual Studio Code.

Как отмечается, это пока предварительная версия, которая по умолчанию поддерживает только Ubuntu 18.04 LTS. Хотя по идее возможен запуск на других дистрибутивах и версиях Ubuntu. Утверждается, что разработчик сможет после установки создавать, развёртывать и отлаживать приложения Azure Sphere в Linux, используя либо командную строку, либо Visual Studio Code.

charitydigitalnews.co.uk

По крайней мере, так должно быть. На деле же для полноценной работы система пока подходит слабо. Ведь даже установку нужно проводить с sudo, хотя Microsoft услужливо предоставляет скрипт для загрузки и установки SDK. А после каждой перезагрузки придётся запускать отдельный скрипт для подключения к отладочной платформе. 

Кроме того, для работы потребуются CMake и Ninja. А для Visual Studio Code придётся скачивать расширение Azure Sphere из Marketplace. В целом, система пока ещё недоработана, но в перспективе выглядит многообещающе.

Напомним, что «Сферу» представили в прошлом году. Тогда компания оптимистично обещала выпустить готовые IoT-устройства до конца текущего года, но, очевидно, это произойдёт в 2020-м. Также напомним, что, по слухам, Microsoft готовит ещё одну IoT-систему, но уже на базе Windows 10X. А ещё в Редмонде в своё время разработали Windows 10 Core, которую можно запускать на Raspberry Pi.