personnes Microsoft il voulait jeter la maison par la fenêtre avec son annonce récente dans lequel il a annoncé que esont prêts à payer une récompense allant jusqu'à cent mille dollars à ceux qui viennent s'identifier et partager avec eux les failles de sécurité de votre plateforme Azure Sphere IoT qui est construit sur la base du noyau Linux et utilise l'isolement sandbox pour les services et applications de base.
Le prix est promis pour la démonstration des vulnérabilités du sous-système Pluton (la racine de confiance implémentée dans la puce) ou Secure World (sandbox). Cette série de récompenses fait partie d'un programme de un nouveau défi de trois mois et offre la récompense la plus élevée de 100,000 XNUMX $ aux chercheurs qui peuvent exécuter du code sur Azure Pluto et Azure Secure World.
La plate-forme d'application Azure Sphere comprend Normal World, l'équivalent Linux du mode utilisateur, et Secure World, qui se trouve sous le noyau Linux personnalisé de Microsoft, sur lequel Security Monitor s'exécute. Seul le code fourni par Microsoft peut s'exécuter en mode superviseur ou dans Secure World, note Microsoft.
Si tu ne sais pas de la plateforme Azure Sphere, vous devez savoir qu'il est conçu pour créer des appareils Internet des objets (IoT) créé basé sur des microcontrôleurs basse consommation (MCU, microcontrôleurs) avec sous-systèmes périphériques intégrés.
Azure Sphere aussi utilisé dans l'équipement de vente au détailPar exemple, des entreprises comme Starbucks. L'une des caractéristiques de la plateforme est le sous-système Pluton, conçu pour fournir du matériel pour le cryptage, stocker des clés privées et effectuer des opérations cryptographiques complexes. Pluton comprend un processeur dédié séparé, un moteur de cryptage, un générateur de nombres aléatoires matériel et un magasin de clés isolé.
L'initiative est spécifiquement destinée au système d'exploitation Azure Sphere et n'inclut pas les sous-systèmes cloud déjà inclus dans un programme de récompense distinct.
Ce nouveau défi de recherche vise à générer de nouvelles recherches de sécurité à fort impact sur Azure Sphere, une solution de sécurité IoT complète qui offre une sécurité de bout en bout sur le matériel, le système d'exploitation et le cloud. Alors qu'Azure Sphere implémente la sécurité en amont et par défaut, Microsoft reconnaît que la sécurité n'est pas un événement ponctuel.
Les risques doivent être constamment atténués tout au long de la vie d'une gamme toujours croissante d'appareils et de services. Engager la communauté de recherche en sécurité pour enquêter sur les vulnérabilités à fort impact avant que les méchants ne le fassent fait partie de l'approche holistique adoptée par Azure Sphere pour minimiser les risques.
Pour recevoir un bonus, il faut démontrer une vulnérabilité pendant une attaque locale (engagement d'application) ou à distance, cela pourrait conduire à un code tiers non authentifié par signature numérique, à l'interception des paramètres d'authentification, à l'augmentation des privilèges, à la modification de la configuration ou au contournement des restrictions du pare-feu.
Pour mener à bien l'étude, Microsoft a exprimé sa volonté de fournir aux participants un accès aux produits et services, le SDK Azure Sphere, la documentation technique, ainsi qu'un canal de communication avec les développeurs de la plateforme.
Microsoft s'est associé à plusieurs sociétés technologiques apportant leur expertise dans la recherche sur la sécurité IoT, pour lancer le défi de recherche sur la sécurité Azure Sphere, ces partenaires incluent Avira, Baidu International Technology, Bitdefender, Bugcrowd, Cisco Systems (Talos), ESET, FireEye , F-Secure, HackerOne, K7 Computing, McAfee, Palo Alto Networks et Zscaler.
Si vous souhaitez demander l'accès à ce programme de recherche, vous devez remplir le formulaire de demande suivant avant le 15 mai 2020.
Les candidatures seront examinées chaque semaine et les chercheurs acceptés seront informés par courrier électronique. Ce défi de recherche s'étend de le 1 juin 2020 jusqu'à le 31 août 2020 pour les chercheurs acceptés via l'application ouverte.
Enfin, si vous souhaitez en savoir plus, vous pouvez consulter les détails dans le lien suivant.