¿Por qué invitamos a investigadores en seguridad a hackear Azure Sphere?

Personas reunidas en una sala de juntas

Por: Galen Hunt, ingeniero distinguido y director general, Azure Sphere; y Benedikt Abendroth, gerente senior de programa, Azure Sphere.

Pelear la batalla de la seguridad para que nuestros clientes no tengan que hacerlo

Los dispositivos IoT se vuelven cada vez más frecuentes en cada aspecto de nuestras vidas: confiaremos en ellos en nuestros hogares, en nuestros negocios, así como en nuestra infraestructura. En febrero de 2020, Microsoft anunció la disponibilidad general de Azure Sphere, una solución integrada de seguridad para dispositivos y equipo IoT. La disponibilidad general significa que estamos listos para brindar a OEM y organizaciones una seguridad de dispositivos rápida y rentable, a escala. Sin embargo, la protección de esos dispositivos no se detiene una vez que los ponemos en manos de nuestros clientes. Es sólo el principio de una batalla continua entre los atacantes y los defensores.

Construir una solución en la que los clientes confíen requiere de inversiones antes y después del despliegue, al complementar medidas técnicas iniciales con prácticas continuas para encontrar y mitigar riesgos. En abril de este año, destacamos el enfoque de Azure Sphere para la gestión de riesgo y por qué asegurar el IoT no es algo que se hace sólo una vez. Los productos mejoran con el tiempo, pero también lo hacen los hackers, así como sus habilidades y herramientas. Las nuevas amenazas de seguridad continúan con su evolución, y los hackers inventan nuevas maneras para atacar dispositivos. Así que, ¿Qué se necesita para mantenerse por delante?

Como equipo de seguridad de producto de Microsoft, creemos en encontrar y solucionar vulnerabilidades antes de que los malos lo hagan. Aunque Azure Sphere invierte de manera continua en mejoras al código, fuzzing, y otros procesos de control de calidad, a menudo se requiere de la mentalidad creativa de un atacante para exponer una potencial debilidad que de otro modo, podría pasarse por alto. Es mejor trabajar con un hacker que tratar de pensar como él. Es por eso que operamos un programa continuo de ejercicios de equipo rojo con investigadores de seguridad y la comunidad de hackers: para beneficiarse de su experiencia y conjunto de habilidades únicos. Esto incluye poder probar nuestra promesa de seguridad no sólo contra los anteriores y los actuales, sino incluso contra los ataques del futuro a dispositivos IoT antes de que se vuelvan más amplios. Nuestro reciente Azure Sphere Security Research Challenge, que concluyó el 31 de agosto de 2020, es un reflejo de este compromiso.

Asociación con MSRC para diseñar un desafío único

Nuestra meta con el Azure Sphere Security Research Challenge, de tres meses de duración, tenía dos partes: impulsar nueva investigación en seguridad de alto impacto, y validar la promesa de seguridad de Azure Sphere contra los mejores desafíos en el campo. Para hacerlo, nos asociamos con Microsoft Security Response Center (MSRC) e invitamos a algunos de los mejores investigadores y proveedores de seguridad para que trataran de “romper” nuestro dispositivo al utilizar los mismos tipos de ataques que cualquier actor malintencionado utilizaría. Para asegurar que los participantes tenían todo lo necesario para tener éxito, le brindamos a cada investigador un kit de desarrollo, una línea directa a nuestro equipo OS Security Engineering, acceso a horas de oficina semanales, y soporte por email junto con nuestro código fuente del kernel del sistema operativo disponible de manera pública.

Nuestra meta era centrar la investigación en el mayor impacto a la seguridad del cliente, por lo que brindamos seis escenarios de investigación con recompensas adicionales de hasta el 20 por ciento sobre Azure Bounty (de hasta 40 mil dólares), así como $100 mil dólares para dos escenarios de alta prioridad que demuestran la capacidad de ejecutar código en Microsoft Pluton o en Secure World. Recibimos más de 3,500 solicitudes, que es un testimonio del gran interés de la comunidad investigadora por asegurar IoT. Más información sobre el diseño del desafío y de nuestra colaboración con MSRC, puede ser encontrada aquí.

Investigadores identifican vulnerabilidades de alto impacto antes que los hackers

La calidad de las presentaciones de los participantes en el desafío, superó por mucho nuestras expectativas. Varios participantes nos ayudaron a encontrar múltiples vulnerabilidades en Azure Sphere que tenían un potencial alto impacto. La calidad es un testimonio de la experiencia, determinación y diligencia de los participantes. Durante el desafío, recibimos un total de 40 presentaciones, de las cuales, 30 llevaron a mejoras en nuestro producto. Dieciséis fueron elegibles para la recompensa; lo que sumó un total de $374,300 dólares en recompensas otorgadas. Las otras 10 participaciones identificaron áreas conocidas donde el riesgo potencial es mitigado de manera específica en otra parte del sistema: algo que a menudo se conoce en el campo como “por diseño”. La elevada proporción de presentaciones válidas con respecto al total de las participaciones habla de la alta calidad de la investigación demostrada por los participantes.

Gráfico que muestra el desglose de presentaciones y la cantidad total de dinero elegible para ser recibido a través del sistema de recompensa.

Jewell Seay, líder de seguridad de plataforma de sistema operativo para Azure Sphere, ha compartido información detallada de muchos de los casos en tres textos recientes, para describir las mejoras en seguridad entregadas en nuestras versiones 20.07, 20.08, y 20.09. Cisco Talos y McAfee Advanced Threat Research (ATR), en particular, encontraron varias vulnerabilidades importantes, y una cadena de ataque en particular está resaltada en el blog de 20.07 de Jewell.

Aunque el ataque descrito requiere de acceso físico a un dispositivo y no podría ejecutarse de manera remota, expuso debilidades potenciales que abarcan los componentes de nube y de dispositivo de nuestro producto. El ataque incluyó la explotación potencial de día cero en el kernel Linux para escapar de los privilegios de raíz. La vulnerabilidad fue reportada al equipo de seguridad de kernel de Linux, lo que llevó a un ajuste para la amplia comunidad de código abierto, que fue compartido con la comunidad de Linux. Si les gustaría aprender más y obtener una vista interna del desafío por parte de dos de nuestros socios de investigación, recomendamos el post de ATR de McAfee y el documento técnico, o el texto de Talos de Cisco.

Lo que se necesita para brindar seguridad mejorada y renovable

Con Azure Sphere, brindamos a nuestros clientes una robusta defensa, basada en las Siete Propiedades de los Dispositivos con una Alta Seguridad. Una de esas propiedades, la seguridad renovable, garantiza que un dispositivo pueda actualizarse a un estado más seguro, incluso si ha sido comprometido. Aunque esto es esencial, no es suficiente por sí mismo. Una organización debe estar equipada con los recursos, las personas y los procesos que permitan una resolución rápida, antes que las vulnerabilidades impacten a los clientes. Los clientes de Azure Sphere saben que tienen el fuerte compromiso de nuestro equipo Azure Sphere Engineering, que nuestro equipo busca y aborda vulnerabilidades potenciales, incluso de las técnicas de ataque inventadas de manera más reciente.

Tomamos muy en serio este compromiso, como se demuestra por todos los ajustes realizados en las versiones 20.07, 20.08 y 20.09. En menos de 30 días después de que McAfee nos reportara la cadena de ataque, entregamos un ajuste a todos nuestros clientes, sin la necesidad de que ellos realizaran alguna acción, gracias a cómo Azure Sphere maneja las actualizaciones. Aunque recibimos un gran número de presentaciones a través de múltiples ciclos de versiones, dimos prioridad a analizar cada reporte tan pronto como lo recibíamos. El éxito de nuestro desafío no sólo debe ser medido por el número y calidad de los reportes, sino también por qué tan rápido fueron solucionadas las vulnerabilidades en el producto. Cuando se trató de solucionar las vulnerabilidades encontradas, no se hizo distinción entre aquellas que habían probado ser explotadas y aquellas que sólo eran teóricas. Los atacantes son creativos y la esperanza no es parte de nuestra evaluación de riesgo o de nuestro compromiso con los clientes.

Nuestra relación con la comunidad de investigación en seguridad

A nombre de todo el equipo y de nuestros clientes, ¡Quisiéramos agradecer a todos los participantes por su ayuda en hacer más seguro a Azure Sphere! Nos sentimos en verdad impresionados por la calidad y la cantidad de vulnerabilidades de alto impacto que encontraron. También quisiéramos agradecer al equipo de MSRC por asociarse con nosotros en este desafío.

Nuestra meta es continuar con la interacción con esta comunidad para que nuestros clientes avancen, y vamos a continuar con la revisión de cada vulnerabilidad potencial reportada para Azure Sphere y para su elegibilidad para los premios del programa Azure Bounty.

Durante este desafío, nuestro equipo aprendió mucho y vamos a explorar y anunciar oportunidades adicionales en el futuro para colaborar con la comunidad de investigación en seguridad. Proteger nuestra plataforma y los dispositivos que nuestros clientes construyen y despliegan, es una prioridad clave para nosotros. A través de trabajar con los mejores investigadores en seguridad en el campo, vamos a continuar con la inversión de encontrar vulnerabilidades potenciales antes de que los malos lo hagan,  ¡Para que ustedes no tengan que hacerlo!

Si están interesados en aprender más sobre cómo Azure Sphere puede ayudarles a desbloquear de manera segura su siguiente innovación en IoT:

Tags: , , ,

Publicaciones Relacionadas