Microsoft는 Azure Sphere Linux의 취약성에 대해 최대 100,000 달러를 지불합니다.

사람들 Microsoft 그는 집을 창밖으로 던지고 싶었습니다. 최근 발표 그가 발표 한 e최대 십만 달러의 보상을 기꺼이 지불합니다. 그들과 식별하고 공유하는 사람들에게 Azure Sphere IoT 플랫폼의 보안 격차 이는 Linux 커널을 기반으로 구축되었으며 기본 서비스 및 응용 프로그램에 대한 샌드 박스 격리를 사용합니다.

이상은 Pluton 하위 시스템의 취약성을 입증하기 위해 약속됩니다. (칩에 구현 된 신뢰의 루트) 또는 Secure World (샌드 박스). 이 일련의 보상은 다음 프로그램의 일부입니다. 새로운 XNUMX 개월 도전 Azure Pluto 및 Azure Secure World에서 코드를 실행할 수있는 연구원에게 100,000 달러의 가장 높은 보상을 제공합니다.

Azure Sphere 애플리케이션 플랫폼에는 사용자 모드에 해당하는 Linux 인 Normal World와 보안 모니터가 실행되는 Microsoft의 사용자 지정 Linux 커널 아래에있는 Secure World가 포함됩니다. Microsoft에서 제공하는 코드 만 감독자 모드 또는 Secure World에서 실행할 수 있습니다.

당신이 모른다면 Azure Sphere 플랫폼의 사물 인터넷 장치를 만들도록 설계되었음을 알아야합니다. (IoT) 생성 저전력 마이크로 컨트롤러 기반 (MCU, 마이크로 컨트롤러 장치) 주변 장치 하위 시스템이 통합되어 있습니다.

Azure Sphere도 소매 장비에 사용예를 들어, Starbucks와 같은 회사. 플랫폼의 특징 중 하나는 서브 시스템입니다. 암호화를위한 하드웨어를 제공하도록 설계된 Pluton, 개인 키를 저장하고 복잡한 암호화 작업을 수행합니다. Pluton에는 별도의 전용 프로세서, 암호화 엔진, 하드웨어 난수 생성기 및 격리 된 키 저장소가 포함되어 있습니다.

이 이니셔티브는 특히 Azure Sphere OS를 대상으로합니다. 별도의 보상 프로그램에 이미 포함 된 클라우드 하위 시스템은 포함되지 않습니다.

이 새로운 연구 과제는 하드웨어, 운영 체제 및 클라우드 전반에 걸쳐 종단 간 보안을 제공하는 포괄적 인 IoT 보안 솔루션 인 Azure Sphere에 대한 새로운 강력한 보안 연구를 생성하는 것을 목표로합니다. Azure Sphere는 보안을 사전에 구현하고 기본적으로 Microsoft는 보안이 일회성 이벤트가 아니라는 것을 인식합니다.

지속적으로 증가하는 장치 및 서비스의 수명 동안 위험을 지속적으로 완화해야합니다. 보안 연구 커뮤니티에 참여하여 악의적 인 사용자가 수행하기 전에 영향이 큰 취약성을 조사하는 것은 Azure Sphere가 위험을 최소화하기 위해 취하는 전체 론적 접근 방식의 일부입니다.

보너스를 받으려면 취약성을 입증해야합니다. ...동안 지역 공격 (신청 약속) 또는 원격, 디지털 서명으로 인증되지 않은 타사 코드, 인증 매개 변수 가로 채기, 권한 증가, 구성 변경 또는 방화벽 제한 우회로 이어질 수 있습니다.

연구를 수행하려면 Microsoft는 참가자에게 제품 및 서비스에 대한 액세스를 제공 할 의지를 표명했습니다., Azure Sphere SDK, 기술 문서 및 플랫폼 개발자와의 커뮤니케이션 채널을 제공합니다.

Microsoft는 Azure Sphere 보안 연구 챌린지를 시작하기 위해 IoT 보안 연구에 대한 전문 지식을 제공하는 여러 기술 회사와 파트너 관계를 맺었습니다. 이러한 파트너에는 Avira, Baidu International Technology, Bitdefender, Bugcrowd, Cisco Systems (Talos), ESET, FireEye, F-Secure, HackerOne이 포함됩니다. , K7 컴퓨팅, McAfee, Palo Alto Networks 및 Zscaler.

이 연구 프로그램에 대한 액세스 요청에 관심이 있으시면 다음 신청서를 작성해야합니다. 15 년 2020 월 XNUMX 일 이전.

신청서는 매주 검토되며 승인 된 연구원은 이메일로 통보됩니다. 이 연구 과제는 1 년 2020 월 XNUMX 일 내일 31 년 2020 월 XNUMX 일 공개 신청서를 통해 수락 된 연구원을위한 것입니다.

마지막으로 그것에 대해 더 알고 싶다면 세부 사항을 참조하십시오 다음 링크에서. 


기사의 내용은 우리의 원칙을 준수합니다. 편집 윤리. 오류를보고하려면 여기에.

코멘트를 첫번째로 올려

코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.