Oamenii din Microsoft voia să arunce casa pe fereastră cu a lui anunt recent în care a anunțat că esunt dispuși să plătească o recompensă de până la o sută de mii de dolari celor care vin să le identifice și să le împărtășească lacune de securitate în platforma IoT Azure Sphere care este construit pe baza kernel-ului Linux și folosind izolarea sandbox pentru servicii și aplicații de bază.
Premiul este promis pentru demonstrarea vulnerabilităților în subsistemul Pluton (rădăcina încrederii implementată în cip) sau Secure World (sandbox). Această serie de recompense fac parte dintr-un program de o nouă provocare de trei luni și oferă cea mai mare recompensă de 100,000 de dolari cercetătorilor care pot rula codul pe Azure Pluto și Azure Secure World.
Platforma de aplicații Azure Sphere include Lumea normală, echivalentul Linux al modului utilizator și Secure World, care se află sub nucleul Linux personalizat Microsoft, unde rulează Security Monitor. Numai codul furnizat de Microsoft poate rula în modul supervizor sau în Secure World, notează Microsoft.
Dacă nu știi a platformei Azure Sphere, ar trebui să știți că este conceput pentru a crea dispozitive Internet of Things (IoT) creat bazat pe microcontrolere de putere redusă (MCU, unități de microcontroler) cu subsisteme periferice integrate.
Și Azure Sphere utilizate în echipamente de vânzare cu amănuntulDe exemplu, companii precum Starbucks. Una dintre caracteristicile platformei este subsistemul Pluton, conceput pentru a furniza hardware pentru criptare, stochează chei private și efectuează operațiuni criptografice complexe. Pluton include un procesor dedicat separat, un motor criptografic, un generator de numere aleatorii hardware și un depozit de chei izolat.
Inițiativa se adresează în mod special sistemului de operare Azure Sphere și nu include subsisteme cloud care sunt deja incluse într-un program de recompensă separat.
Această nouă provocare de cercetare își propune să genereze noi cercetări de securitate cu impact ridicat pe Azure Sphere, o soluție cuprinzătoare de securitate IoT care oferă securitate end-to-end pe hardware, sistem de operare și cloud. În timp ce Azure Sphere implementează securitatea în avans și implicit, Microsoft recunoaște că securitatea nu este un eveniment unic.
Riscurile trebuie să fie în mod constant atenuate pe durata de viață a unei game din ce în ce mai mari de dispozitive și servicii. Angajarea comunității de cercetare a securității pentru a investiga vulnerabilitățile cu impact ridicat înainte ca băieții răi să facă acest lucru face parte din abordarea holistică pe care Azure Sphere o adoptă pentru a minimiza riscul.
Pentru a primi un bonus, este necesar să demonstrați o vulnerabilitate pe parcursul un atac local (angajament de aplicare) sau la distanță, ar putea duce la codul unei terțe părți care nu este autentificat prin semnătură digitală, interceptarea parametrilor de autentificare, creșterea privilegiilor, modificarea configurației sau ocolirea restricțiilor de firewall.
Pentru a efectua studiul, Microsoft și-a exprimat dorința de a oferi participanților acces la produse și servicii, Azure Sphere SDK, documentație tehnică, precum și furnizarea unui canal de comunicare cu dezvoltatorii platformei.
Microsoft a colaborat cu mai multe companii de tehnologie care aduc expertiză în cercetarea securității IoT pentru a lansa Azure Sphere Security Research Challenge, acești parteneri includ Avira, Baidu International Technology, Bitdefender, Bugcrowd, Cisco Systems (Talos), ESET, FireEye , F-Secure, HackerOne, K7 Computing, McAfee, Palo Alto Networks și Zscaler.
Dacă sunteți interesat să solicitați acces la acest program de cercetare, trebuie să completați următorul formular de cerere înainte de 15 mai 2020.
Cererile vor fi revizuite săptămânal, iar cercetătorii acceptați vor fi anunțați prin e-mail. Această provocare de cercetare se întinde de la pe 1 iunie 2020 licitație pe 31 august 2020 pentru cercetătorii acceptați prin intermediul aplicației deschise.
În cele din urmă, dacă sunteți interesat să aflați mai multe despre aceasta, puteți consulta detaliile În următorul link.