Люди Microsoft он хотел выбросить дом в окно своим недавнее объявление в котором он объявил, что eготовы выплатить вознаграждение до ста тысяч долларов тем, кто приходит, чтобы узнать и поделиться с ними пробелы в безопасности в вашей платформе Azure Sphere IoT который построен на основе ядра Linux и использует изолированную песочницу для базовых сервисов и приложений.
Награда обещана за демонстрацию уязвимостей в подсистеме Pluton. (корень доверия, реализованный в чипе) или Secure World (песочница). Эта серия наград является частью программы новый трехмесячный вызов и предлагает высшее вознаграждение в размере 100,000 XNUMX долларов для исследователей, которые могут запускать код в Azure Pluto и Azure Secure World.
Платформа приложений Azure Sphere включает в себя Normal World, Linux-эквивалент пользовательского режима, и Secure World, которое находится под пользовательским ядром Linux от Microsoft, где работает Security Monitor. Microsoft отмечает, что только код, предоставленный Microsoft, может работать в режиме супервизора или в Secure World.
Если ты не знаешь платформы Azure Sphere, вы должны знать, что он предназначен для создания устройств Интернета вещей (IoT) создано на базе микроконтроллеров малой мощности (MCU, микроконтроллеры) со встроенными периферийными подсистемами.
Лазурная сфера тоже используется в торговом оборудованииНапример, такие компании, как Starbucks. Одна из характеристик платформы - подсистема Pluton, предназначенный для обеспечения оборудования для шифрования, хранить закрытые ключи и выполнять сложные криптографические операции. Pluton включает в себя отдельный выделенный процессор, криптографический движок, аппаратный генератор случайных чисел и изолированное хранилище ключей.
Инициатива специально нацелена на ОС Azure Sphere. и не включает облачные подсистемы, которые уже включены в отдельную программу вознаграждения.
Эта новая исследовательская задача направлена на создание новых высокоэффективных исследований в области безопасности в Azure Sphere, комплексном решении безопасности Интернета вещей, которое обеспечивает сквозную безопасность для оборудования, операционной системы и облака. Хотя Azure Sphere реализует безопасность заранее и по умолчанию, Microsoft понимает, что безопасность не является разовым событием.
Риски необходимо постоянно снижать в течение срока службы постоянно растущего диапазона устройств и услуг. Привлечение сообщества исследователей безопасности к исследованию уязвимостей с высокой степенью воздействия до того, как это сделают злоумышленники, является частью целостного подхода, который Azure Sphere использует для минимизации рисков.
Для получения бонуса необходимо продемонстрировать уязвимость. в течение локальная атака (обязательство по приложению) или удаленный, Это может привести к тому, что сторонний код не будет аутентифицирован цифровой подписью, перехватить параметры аутентификации, повысить привилегии, внести изменения в конфигурацию или обойти ограничения брандмауэра.
Чтобы провести исследование, Microsoft выразила готовность предоставить участникам доступ к продуктам и услугам., пакет SDK для Azure Sphere, техническая документация, а также предоставление канала связи с разработчиками платформы.
Microsoft заключила партнерские отношения с несколькими технологическими компаниями, предлагающими свой опыт в исследованиях безопасности Интернета вещей, для запуска конкурса Azure Sphere Security Research Challenge, в число этих партнеров входят Avira, Baidu International Technology, Bitdefender, Bugcrowd, Cisco Systems (Talos), ESET, FireEye. , F-Secure, HackerOne, K7 Computing, McAfee, Palo Alto Networks и Zscaler.
Если вы хотите запросить доступ к этой исследовательской программе, вы должны заполнить следующую форму заявки до 15 мая 2020 г.
Заявки будут рассматриваться еженедельно, и принятые исследователи будут уведомлены по электронной почте. Эта исследовательская задача охватывает 1 июня 2020 г. к 31 августа 2020 г. для исследователей принимаются через открытую заявку.
Наконец, если вам интересно узнать об этом больше, вы можете ознакомиться с подробностями По следующей ссылке.