Microsoft bezilt bis zu $ ​​100,000 fir Schwachstelle an Azure Sphere Linux

D'Leit aus Microsoft hie wollt d'Haus mat senger aus der Fënster geheien rezent Annonce an deem hien ugekënnegt huet datt esi bereet eng Belounung vu bis zu honnertdausend Dollar ze bezuelen un déi, déi kommen fir mat hinnen z'identifizéieren an ze deelen Sécherheetslücken an Ärer Azure Sphere IoT Plattform deen op Basis vum Linux Kernel gebaut gëtt a Sandbox Isolatioun fir Basis Servicer an Uwendungen benotzt.

De Präis gëtt versprach fir Schwächen am Pluton Subsystem ze demonstréieren (d'Wurzel vum Vertrauen am Chip implementéiert) oder Secure World (Sandkëscht). Dës Serie vu Belounungen ass Deel vun engem Programm vu eng nei Erausfuerderung vun dräi Méint a bitt déi héchst Belounung vun $ 100,000 u Fuerscher, déi Code op Azure Pluto an Azure Secure World lafe kënnen.

D'Azure Sphere Applikatiounsplattform enthält Normal World, de Linux Äquivalent vum Benotzermodus, a Secure World, deen ënner Microsoft säi personaliséierte Linux Kern setzt, wou de Sécherheetsmonitor leeft. Nëmme Code vu Microsoft kann am Supervisor Modus oder a Secure World lafen, notéiert Microsoft.

Wann Dir net wësst vun der Azure Sphere Plattform, Dir sollt wëssen datt et entwéckelt ass Internet of Things Geräter ze kreéieren (IoT) erstallt baséiert op nidderegstaarke Mikrokontroller (MCU, Mikrokontroller Eenheeten) mat integréierte periphere Subsystemer.

Azure Sphere och an Händlerausrüstung benotztZum Beispill Firmen wéi Starbucks. Ee vun de Charakteristike vun der Plattform ass de Subsystem Pluton, entwéckelt fir Hardware fir Verschlësselung ze bidden, späichert privat Schlësselen a féiert komplex kryptographesch Operatiounen aus. Pluton enthält e separaten dedizéierten Prozessor, Kryptomotor, Hardware Zoufallzuelegenerator an isoléiert Keystore.

D'Initiativ ass speziell op Azure Sphere OS gezielt an enthält keng Cloud Subsystemer déi schonn an engem separaten Belounungsprogramm abegraff sinn.

Dës nei Fuerschung Erausfuerderung soll nei High-Impact Sécherheetsforschung op Azure Sphere generéieren, eng ëmfaassend IoT Sécherheetsléisung déi end-to-end Sécherheet iwwer Hardware, Betribssystem an d'Wollek liwwert. Wärend Azure Sphere Sécherheet am Virfeld implementéiert a par défaut, erkennt Microsoft datt d'Sécherheet keen eemolegen Event ass.

Risike musse stänneg iwwer d'Liewensdauer vun enger ëmmer méi grousser Palette vun Apparater a Servicer reduzéiert ginn. Engagéiert d'Sécherheetsfuerschungsgemeinschaft fir High-Impact-Schwachlëchkeet z'ënnersichen ier déi schlecht Kärelen et maachen ass en Deel vun der ganzheetlecher Approche Azure Sphere hëlt fir de Risiko ze minimiséieren.

Fir e Bonus ze kréien, ass et néideg eng Schwachstelle ze demonstréieren während eng lokal Attack (Uwendungsengagement) oder Remote, et kéint zu Drëtt Partei Code féieren, deen net duerch digital Ënnerschrëft authentifizéiert gouf, Authentifikatiounsparameter ofgefaang huet, Privilegien erhéicht, Konfiguratiounsännerunge mécht oder Firewall Restriktiounen ëmgëtt.

Fir d'Studie duerchzeféieren, Microsoft huet säi Wëllen ausgedréckt de Participanten Zougang zu Produkter a Servicer ze bidden, d'Azure Sphere SDK, technesch Dokumentatioun, souwéi e Kommunikatiounskanal mat de Plattformentwéckler.

Microsoft huet mat e puer Technologiefirmen zesummegeschafft, déi Expertise bréngen an der IoT Sécherheetsfuerschung fir d'Azure Sphere Security Research Challenge ze starten, dës Partner gehéieren Avira, Baidu International Technology, Bitdefender, Bugcrowd, Cisco Systems (Talos), ESET, FireEye, F-Secure, HackerOne, K7 Computing, McAfee, Palo Alto Networks, an Zscaler.

Wann Dir interesséiert sidd fir Zougang zu dësem Fuerschungsprogramm ze froen, Dir musst de folgende Bewerbungsformular ausfëllen virum 15. Mee 2020.

D'Applikatioune ginn all Woch iwwerpréift an akzeptéiert Fuerscher ginn per E-Mail informéiert. Dës Fuerschung Erausfuerderung span vun den 1. Juni 2020 weider Den 31. August 2020 fir Fuerscher duerch déi oppen Uwendung akzeptéiert.

Schlussendlech, wann Dir interesséiert sidd méi doriwwer ze wëssen, kënnt Dir d'Detailer consultéieren An de folgende Link. 


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn.

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.

bool (richteg)