Alfonso Maruccia

Microsoft, una distro Linux per la sicurezza dell'IoT

Redmond fa ancora una volta la storia presentando la sua prima distro basata sul kernel del Pinguino, un prodotto integrato in una soluzione cloud "tutto compreso" per piattaforme e gadget IoT

Roma - Non è un mistero che il nuovo focus aziendale di Microsoft si sia inesorabilmente allontanato da Windows per seguire le strade del cloud e dell'open source, e in questi giorni la corporation di Redmond fa a suo modo la storia con una nuova distro Linux destinata alle piattaforme della Internet delle Cose (IoT).

La prima distro Microsoft basata sull'onnipresente kernel open source è in realtà parte di un "pacchetto" chiamato Azure Sphere, una soluzione per la IoT che include il già citato sistema operativo Linux, un microcontroller basato su SoC ARM e un servizio per la gestione sicura dei dispositivi IoT all'interno del cloud di Azure.

Azure Sphere OS, questo il nome del nuovo OS Linux di Microsoft, è un sistema pensato per girare su dispositivi IoT con specifiche hardware minimali, meglio se si tratta dei chip Azure Sphere progettati direttamente dalla corporation e inclusivi di CPU Cortex-A, storage, memoria, connettività, modulo di sicurezza Pluton e un controller "fatto in casa" pensato per salvaguardare le chiavi crittografiche (Secured MCU).
Il design del chip è "royalty free", quindi in teoria chiunque può scaricare le specifiche e realizzare un dispositivo compatibile senza spendere un centesimo. Difficilmente, comunque, questi ipotetici gadget terzi avrebbero accesso ad Azure Sphere Security Service, terzo componente del pacchetto Azure Sphere che consiste in un servizio cloud in grado di scansionare in tempo reale i dispositivi Azure Sphere alla ricerca di "anomalie" di sicurezza.

Azure Sphere OS rappresenta il secondo tentativo di Microsoft di imporre una propria soluzione di computing per il mercato dell'IoT, un settore che è stato fin qui refrattario agli sforzi di Redmond che vi aveva dedicato un'edizione specifica del suo sistema operativo universale (Windows 10 IoT Core).

Alfonso Maruccia
Notizie collegate
  • TecnologiaWindows 10: dall'universale al particolareMicrosoft ha comunicato la declinazione delle diverse edizioni in cui verrà commercializzato il nuovo sistema operativo, una politica tradizionalmente adottata con tutte le release di Windows e a cui non sfugge nemmeno l'OS "universale"
  • AttualitàMicrosoft: meno Windows, più Linux e cloudRedmond distribuisce un tool open source pensato per facilitare il porting di Linux su Windows, mentre un importante abbandono nel management segnala il cambiamento, sempre più evidente, fra le priorità aziendali
62 Commenti alla Notizia Microsoft, una distro Linux per la sicurezza dell'IoT
Ordina
  • Pensiavo che i pacchetti per i grossi filoni delle distribuzioni fossero diverse. Tipo Debian e gentoo devono essere ricompilati no?

    Comunque grazie per la spiegazione, sei stato molto esaustivo
  • Gentilissimi,
    non sapendo compilare ho dovuto disinstallare moltissime volte ubuntu per cui adesso sono mezzo windiano e mezzo ubuntu. Uno con i problemi ormanali come dite voi insomma. Ora, al di là di qualche distribuzione particolare come quella per testare la sicurezza, oppure quella per i vecchi pc etc... mi chiedo come mai si utilizzino queste distribuzioni a metà tra il misconosciuto e il rischio di chiusura quando si fatica a trovare una distribuzione di riferimento anche per l'utente medio. Invece di reinvetare la ruota ogni volta, non sarebbe meglio perfezionare quello che abbiamo già senza partire da progetti semi-falliti? Come mai si ricerca orgogliosamente questi tipi di OS così poco diffusi?
    Mi piacerebbe sentire una vostra opinione, grazie
  • - Scritto da: Rommel5392
    > Gentilissimi,
    > non sapendo compilare ho dovuto disinstallare
    > moltissime volte ubuntu per cui adesso sono mezzo
    > windiano e mezzo ubuntu. Uno con i problemi
    > ormanali come dite voi insomma. Ora, al di là di
    > qualche distribuzione particolare come quella per
    > testare la sicurezza, oppure quella per i vecchi
    > pc etc... mi chiedo come mai si utilizzino queste
    > distribuzioni a metà tra il misconosciuto e il
    > rischio di chiusura quando si fatica a trovare
    > una distribuzione di riferimento anche per
    > l'utente medio. Invece di reinvetare la ruota
    > ogni volta, non sarebbe meglio perfezionare
    > quello che abbiamo già senza partire da progetti
    > semi-falliti? Come mai si ricerca orgogliosamente
    > questi tipi di OS così poco
    > diffusi?
    > Mi piacerebbe sentire una vostra opinione, grazie


    Linux è un kernel, non un sistema operativo. "Sopra" il kernel, ogni distribuzione ci mette quello che gli pare.

    Parti dal presupposto che dietro ci sia un'organizzazione aziendale come Microsoft, ma non è così, ci sono tante comunità, ognuna fa il suo SO, e non ha senso lamentarsi della varietà.

    Esistono tante distribuzioni facili da usare per i neo-utenti, come Mint o Ubuntu, che praticamente si installano con la stessa facilità di windows.
    non+autenticato
  • Per le cose a cui dà importanza, si intende. Windows lo lasciano ai clienti.
    non+autenticato
  • - Scritto da: sistemista
    > Per le cose a cui dà importanza, si intende.
    > Windows lo lasciano ai
    > clienti.
    So da fonte certa (Blog del Panda), che anche Microsoft sta cambiando velocemente i suoi sistemi operativi per adottare pandaOS.

    E' incredibile la qualità costruttiva del sistema operativo che ha creato il Grande Panda, siamo tutti così orgogliosi del suo operato, una programmazione così oscura e indecifrabile che solo la luce del panda può schiarire, poco per volta, nelle tristi menti ignoranti del popolino.
    non+autenticato
  • - Scritto da: ...
    >


    Si rosica alla grande !!! Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • Partiamo dalla base, ossia da https://azure.microsoft.com/en-us/blog/introducing.../# di 10 gg fa (+ due note prese dai link):
    "servono IoT sicuri.. guardate il disastro di Mirai botnet. Nel 2015 abbiamo iniziato il project next, poi evoluto in Sopris [1], progettando un MCU tutto nuovo , abbiamo stabilito 7 regole di sicurezza [tra cui: HW root of trust, compartimentazione hw, private keystore (stile SE), cert-auth based ] ,abbiam fatto un PoC, e' andato benissimo e ora ci siamo"

    - (a parte che non e' un MCU ma un SoC quello che piazza m$ ..)
    - E' assolutamente dannoso veicolare l'idea che serva un cazzo di trusted computer con secureboot+SE ecc per uno IoT che protegge da Mirai... Mirai esiste perche voi produttori ci mettete dentro del SW DI MERDA, con account hardcoded (non documentati e tipicamente non removibili). L'unico "aiuto" di una baracca hw-protected e' impedire ai reverser ('umani'.. poi lab selezionati, crime, nsa ci riescono) di scoprire le magagne che ci avete codato dentro! (se questi 'iot' -che poi non c'entrano un tubo col 'pericolo mirai'- lo vuoi metter su una nave o treno, magari forse e' diverso.)
    - l'imbrodamento sul "e' sicuro perche' il PoC e' rimasto inviolato.." [3] e' decisamente prematuro visto che hanno usato una roba del tutto diversa .. un MT7687 al quale han appicicato assieme a mediatek il loro Pluton security subsystem. Quello che stanno provando a vendere ora e' un MT3620 con altri 4 coproci (dei M4F e un risc) [4]

    - la mossa markettara sulla paura Mirai ci sta, xche M$ sta arrivando buon ultima ANCHE nei SoC 'sicuri e teleguidati (dal cloud)'.. visto che Win10 core vende e piace poco... Amazon, per dire, ha gia da TEMPO AWS Greengrass che gira su arm e x86 (soc e pc veri) e la parte MCU (vera) con freertos linuxiano e open [5]. Come piattaoforme c'e' anche Samsung...
    Gli stessi suoi partner sui processori, tipo NXT, fanno gia da tempo SoC multifunzione (cortex-A + cortex-M ..stile i.MX7).
    Vedremo se questo rip di kernel linux + ecosistema Azuriano schiatta, e' il solito 'embrace extend', o c'e' dell opensource serio o cosa. Per ora NON ho visto un github col sw.

    Boh, e' ora di cena.


    [1] https://www.microsoft.com/en-us/research/project/s.../
    [2] https://www.microsoft.com/en-us/research/wp-conten...
    [3]
    [4] https://www.mediatek.com/products/azureSphere/mt36...
    [5] https://github.com/aws/amazon-freertos
    non+autenticato
  • - Scritto da: bubba

    > Mirai... Mirai esiste perche voi produttori ci
    > mettete dentro del SW DI MERDA, con account
    > hardcoded (non documentati e tipicamente non
    > removibili).

    Bel discorso, ma questo è il problema fondamentale: il firmware di merda. Quando il basso livello di una scheda è fatto volutamente col culo poi c'è poco da fare, il resto è un teatrino per allocchi tanto per buttare tutto in caciara per dare l'impressione che si sta facendo di tutto per risolvere problemi volutamente creati, ma tanto la gente non capisce un cazzo quindi possono raccontare quello che vogliono.
    Lo iot è da boicottare, poi contenti voi ...
    non+autenticato
  • - Scritto da: prova123
    > - Scritto da: bubba
    >
    > > Mirai... Mirai esiste perche voi produttori
    > ci
    > > mettete dentro del SW DI MERDA, con account
    > > hardcoded (non documentati e tipicamente non
    > > removibili).
    >
    > Bel discorso, ma questo è il problema
    > fondamentale: il firmware di merda.
    essi'. E' che da almeno "il caso mirai" subito la grancassa (ANCHE politica) ha iniziato a suonare per SoC con chain of trust hardware. Che ha il RISULTATO OPPOSTO (ossia di impedire ai reverser di vedere la merda che c'e' dentro)
    E con sw (o fw) di merda non intendo un daemon che con tal pacchetti crafted puo andare in buffer overlfow e dopo yaddayadda ASLR, ROP gadget yaddayadda, p0wned. Quello puo' sempre capitare (anche a roba ben fatta.)
    Parlo proprio di pw hardcoded e non documentate, cgi proni all'injection, csrf e xss come piovesse nella webinterface ecc. E anche robe geniali come 'tutti i task che girano come root', ecc. Roba che sta nel manuale wannabe di OWASP da 10 anni.

    > Lo iot è da boicottare, poi contenti voi ...
    lo iot ce l'hai in casa. il mitologico Mirai al 90% colpiva dei DVR e ip cam.
    non+autenticato
  • - Scritto da: bubba

    >
    > > Lo iot è da boicottare, poi contenti voi ...
    > lo iot ce l'hai in casa. il mitologico Mirai al
    > 90% colpiva dei DVR e ip
    > cam.

    Mai avuto in casa oggetti con IoT.
    Mirai lo lascio volentieri ai winari.
  • - Scritto da: panda rossa
    > - Scritto da: bubba
    >
    > >
    > > > Lo iot è da boicottare, poi contenti
    > voi
    > ...
    > > lo iot ce l'hai in casa. il mitologico Mirai
    > al
    > > 90% colpiva dei DVR e ip
    > > cam.
    >
    > Mai avuto in casa oggetti con IoT.
    > Mirai lo lascio volentieri ai winari

    mirai -> linux devices -> iot
    non+autenticato
  • - Scritto da: osso

    > mirai -> linux devices OS PROPRIETARIO -> iot
    fixed!
    A bocca aperta
    non+autenticato
  • - Scritto da: panda rossa
    > - Scritto da: bubba

    > Mai avuto in casa oggetti con IoT.
    oh ce l'hai ce l'hai uno IoT. secondo la definizione di M$ (visto che tira in ballo Mirai) sono i soho router, i dvr , le ip-cam ecc.
    Se poi mi dici che hai preso un bel netgear con la telnet backdoor o un huawei col upnp bacato su wan, E POI li hai riflashati con openwrt, e' un altro discorso. Ma la merda l'hai portata in casa.
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: panda rossa
    > > - Scritto da: bubba
    >
    > > Mai avuto in casa oggetti con IoT.
    > oh ce l'hai ce l'hai uno IoT. secondo la
    > definizione di M$ (visto che tira in ballo Mirai)
    > sono i soho router, i dvr , le ip-cam
    > ecc.
    > Se poi mi dici che hai preso un bel netgear con
    > la telnet backdoor o un huawei col upnp bacato su
    > wan, E POI li hai riflashati con openwrt, e' un
    > altro discorso. Ma la merda l'hai portata in
    > casa.
    1) upnp è SEMPRE bacato in particolare se lo usi su un device connesso a una WAN (o a internet).

    2) "ri-flashare" con openwrt/lede è comunque praticamente obbligatorio non c'è altro modo per essere confidenti di schivare non dico i bug (che ci sono sempre) ma almeno le backdoors.
    La cosa poi funziona ancora meglio se si limitano i packages installati al minimo indispensabile per lo scopo/utilizzo previsto per quel device.
    Fatto questo un device IoT non è ne più ne meno sicuro di qualunque altra cosa.
    non+autenticato
  • > Mai avuto in casa oggetti con IoT.
    Bravo panda, mettiamo i puntini sulle IoT.
    non+autenticato
  • ormai quelli del closed source prendono gol anche da 80 metri con il portiere

    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 11 discussioni)