ludzie Microsoft chciał razem ze swoim domem wyrzucić przez okno ostatnie ogłoszenie w którym ogłosił, że esą skłonni zapłacić nagrodę w wysokości do stu tysięcy dolarów tym, którzy przychodzą, aby się z nimi zidentyfikować i podzielić się z nimi luki w zabezpieczeniach na platformie Azure Sphere IoT który jest zbudowany w oparciu o jądro Linux i wykorzystujący izolację piaskownicy dla podstawowych usług i aplikacji.
Nagroda jest obiecana za wykazanie luk w podsystemie Pluton (źródło zaufania zaimplementowane w chipie) lub Secure World (piaskownica). Ta seria nagród jest częścią programu nowe trzymiesięczne wyzwanie i oferuje najwyższą nagrodę w wysokości 100,000 XNUMX USD dla badaczy, którzy mogą uruchamiać kod na platformach Azure Pluto i Azure Secure World.
Platforma aplikacji Azure Sphere obejmuje Normal World, odpowiednik trybu użytkownika w systemie Linux oraz Secure World, który znajduje się w niestandardowym jądrze systemu Linux firmy Microsoft, w którym działa Security Monitor. Microsoft zauważa, że tylko kod dostarczony przez firmę Microsoft może działać w trybie nadzorcy lub w Secure World.
Jeśli nie wiesz platformy Azure Sphere, powinieneś wiedzieć, że jest przeznaczony do tworzenia urządzeń Internetu rzeczy (IoT) utworzone oparty na mikrokontrolerach małej mocy (MCU, mikrokontrolery) ze zintegrowanymi podsystemami peryferyjnymi.
Azure Sphere też używany w sprzęcie detalicznymNa przykład firmy takie jak Starbucks. Jedną z cech platformy jest podsystem Pluton, zaprojektowany w celu zapewnienia sprzętu do szyfrowania, przechowuj klucze prywatne i wykonuj złożone operacje kryptograficzne. Pluton zawiera oddzielny dedykowany procesor, silnik kryptograficzny, sprzętowy generator liczb losowych i izolowany magazyn kluczy.
Inicjatywa jest szczególnie ukierunkowana na system operacyjny Azure Sphere i nie obejmuje podsystemów chmurowych, które są już objęte oddzielnym programem nagród.
To nowe wyzwanie badawcze ma na celu wygenerowanie nowych, znaczących badań dotyczących bezpieczeństwa w Azure Sphere, kompleksowym rozwiązaniu zabezpieczającym IoT, które zapewnia kompleksowe zabezpieczenia sprzętu, systemu operacyjnego i chmury. Chociaż usługa Azure Sphere wdraża zabezpieczenia z góry i domyślnie, firma Microsoft uznaje, że zabezpieczenia nie są zdarzeniem jednorazowym.
Ryzyko musi być stale ograniczane przez cały okres eksploatacji coraz większej gamy urządzeń i usług. Angażowanie społeczności badaczy zabezpieczeń w celu zbadania luk w zabezpieczeniach o dużym wpływie, zanim zrobią to złoczyńcy, jest częścią holistycznego podejścia Azure Sphere w celu zminimalizowania ryzyka.
Aby otrzymać premię, konieczne jest wykazanie podatności w trakcie lokalny atak (zobowiązanie do złożenia wniosku) lub zdalnie, może to prowadzić do tego, że kod innej firmy nie jest uwierzytelniany za pomocą podpisu cyfrowego, przechwytuje parametry uwierzytelniania, zwiększa uprawnienia, wprowadza zmiany w konfiguracji lub omija ograniczenia zapory.
Aby przeprowadzić badanie, Microsoft wyraził chęć zapewnienia uczestnikom dostępu do produktów i usług, Azure Sphere SDK, dokumentacja techniczna, a także zapewnianie kanału komunikacji z programistami platformy.
Firma Microsoft nawiązała współpracę z kilkoma firmami technologicznymi, które wnoszą doświadczenie w badaniach nad bezpieczeństwem IoT, aby uruchomić wyzwanie Azure Sphere Security Research. Do partnerów tych należą Avira, Baidu International Technology, Bitdefender, Bugcrowd, Cisco Systems (Talos), ESET, FireEye , F-Secure, HackerOne, K7 Computing, McAfee, Palo Alto Networks i Zscaler.
Jeśli chcesz uzyskać dostęp do tego programu badawczego, musisz wypełnić poniższy formularz zgłoszeniowy przed 15 maja 2020 r.
Wnioski będą sprawdzane co tydzień, a zaakceptowani badacze zostaną powiadomieni e-mailem. To wyzwanie badawcze obejmuje 1 czerwca 2020 r w górę 31 sierpnia 2020 r dla badaczy zaakceptowanych w drodze otwartej aplikacji.
Wreszcie, jeśli chcesz dowiedzieć się więcej na ten temat, możesz zapoznać się ze szczegółami W poniższym linku.