Hay pocas cosas que me resulten más satisfactorias que ver a una persona o una empresa admitir que no son infalibles. Esto se puede hacer, claro, después de que determinadas circunstancias ya lo hayan demostrado anteriormente en la práctica. Sería, entiéndase que desde el respeto, un «Lo siento, me he equivocado, no volverá a ocurrir«, y eso está muy bien. Pero cuando creo que tiene verdadero mérito es cuando se hace de manera preventiva y, además, se actúa en consecuencia. Hay quienes lo consideran arrogancia, pero a mí me parece una muestra de humildad o, en según que casos, simplemente de tener los pies en la tierra.
Una muestra de esto son los desafíos que, de manera periódica, organizan algunos fabricantes para poner a prueba sus productos, una práctica de lo más recomendable y que, si además ofrece algún tipo de recompensa a los participantes, puede atraer a muchísimo talento especializado en la seguridad. El último ejemplo de esta saludable práctica lo ha dado Microsoft que, como anuncia aquí, quiere poner a prueba Azure Sphere y, como recompensa, ofrece hasta 100.000 dólares a quienes sean capaces de encontrar vulnerabilidades en dos escenarios predefinidos por los de Redmond.
MS Recomienda
Recordemos que Azure Sphere se presentó en abril de 2018 como una solución para mejorar la seguridad de los dispositivos conectados a Internet de las cosas (IoT). Se compone de tres partes: microcontroladores conectados, un sistema operativo basado en Linux y un núcleo personalizado para la gestión de los dispositivos conectados, y un servicio de seguridad para proteger los mismos de todo tipo de amenazas. Tras un despliegue progresivo, alcanzó disponibilidad general en febrero de 2020, así que Microsoft ha considerado que ya es el momento de ponerlo a prueba.
En concreto, son dos los desafíos que se plantean a los participantes que quieran optar por la máxima recompensa, 100.000 dólares, a los que se suman otros seis que ya se encuentran en el programa de recompensas de Microsoft, pero que durante las pruebas de Azure Sphere verán incrementada su recompensa entre un 10% y un 20%. Estos son los desafíos:
- Capacidad de ejecutar código en Pluton (100.000 dólares).
- Capacidad de ejecutar código en Secure World (100.000 dólares).
- Capacidad para ejecutar código en NetworkD a través de un ataque local (aplicación comprometida del cliente) o de forma remota (red externa).
- Cualquier acción que permita la ejecución de código sin firmar que no sea ROP.
- Capacidad para falsificar la autenticación del dispositivo: el protocolo de enlace para la certificación y autenticación del dispositivo (DAA) que autentica un dispositivo está ejecutando el software adecuado.
- Cualquier acción que permita la elevación de privilegios fuera de las capacidades descritas en el manifiesto de la aplicación (por ejemplo, cambiar la ID de usuario o agregar acceso a un binario).
- Capacidad para modificar el software y las opciones de configuración (se excluye forzar el reinicio del dispositivo) en un dispositivo en su configuración por defecto, cuando se reclama a un host en el que no ha iniciado sesión y estás autorizado a realizar cambios.
- Posibilidad de alterar el firewall que permite la comunicación a otros dominios que no están en el manifiesto de la aplicación (nota: no se permite DNS poisoning)
Algo importante si te estás planteando participar, eso sí, es que solo podrán hacerlo, recibir el pack de recursos y optar a los premios las personas y entidades que se inscriban en el desafío y sean seleccionadas por Microsoft. Para tal fin, de momento los de Redmond han cursado algunas invitaciones a determinados investigadores, pero aún así la inscripción está abierta a todas las personas interesadas en poner a prueba la seguridad de Azure Sphere. Si es tu caso, puedes solicitar tu participación rellenando este formulario.
Ten en cuenta, y es importante, los plazos de este desafío, puesto que la fecha límite para inscribirse es el 15 de mayo. Si tu inscripción es aceptada y entras en la competición tendrás tres meses, desde el 1 de junio hasta el 31 de agosto para realizar las pruebas. Para tal fin contarás con el kit de desarrollo Azure Sphere, la documentación del producto, acceso a los productos y servicios de Microsoft para fines de investigación y comunicación directa con el equipo de Microsoft.
Si te animas a participar nos encantaría saberlo, háznoslo saber en los comentarios y mucha suerte tanto en el proceso de selección como en el desafío.
Fuente:https://www.muyseguridad.net