människor Microsoft han ville kasta ut huset genom fönstret nyligen meddelat där han meddelade att eär villiga att betala en belöning på upp till hundra tusen dollar till dem som kommer för att identifiera och dela med dem säkerhetsluckor i din Azure Sphere IoT-plattform som bygger på basen av Linux-kärnan och använder sandlådaisolering för grundläggande tjänster och applikationer.
Priset lovas för att visa sårbarheter i delsystemet Pluton (roten till förtroende implementerad i chipet) eller Secure World (sandbox). Denna serie belöningar är en del av ett program av en ny tre månaders utmaning och erbjuder den högsta belöningen på 100,000 XNUMX dollar till forskare som kan köra kod på Azure Pluto och Azure Secure World.
Azure Sphere-applikationsplattformen inkluderar Normal World, Linux-motsvarigheten till användarläge och Secure World, som ligger under Microsofts anpassade Linux-kärna, där Security Monitor körs. Endast kod som tillhandahålls av Microsoft kan köras i övervakningsläge eller i Secure World, konstaterar Microsoft.
Om du inte vet det av Azure Sphere-plattformen, du borde veta att den är utformad för att skapa enheter för Internet of Things (IoT) skapad baserat på mikroeffektkontroller med låg effekt (MCU, mikrokontroller) med integrerade perifera delsystem.
Azure Sphere också används i detaljhandelsutrustningTill exempel företag som Starbucks. En av egenskaperna hos plattformen är delsystemet Pluton, utformad för att tillhandahålla hårdvara för kryptering, lagra privata nycklar och utföra komplexa kryptografiska operationer. Pluton innehåller en separat dedikerad processor, kryptomotor, hårdvaruslumpgenerator och isolerad keystore.
Initiativet riktar sig specifikt till Azure Sphere OS och inkluderar inte molnsubsystem som redan ingår i ett separat belöningsprogram.
Den här nya forskningsutmaningen syftar till att generera ny effektfull säkerhetsforskning på Azure Sphere, en omfattande IoT-säkerhetslösning som levererar end-to-end säkerhet över hårdvara, operativsystem och molnet. Medan Azure Sphere implementerar säkerhet i förväg och som standard, erkänner Microsoft att säkerhet inte är en engångshändelse.
Riskerna måste ständigt lindras under livslängden för ett ständigt växande utbud av enheter och tjänster. Att engagera säkerhetsforskningsmiljön för att undersöka svåra effekter med stor påverkan innan skurkarna gör är en del av det holistiska tillvägagångssätt som Azure Sphere tar för att minimera risken.
För att få en bonus är det nödvändigt att visa en sårbarhet under en lokal attack (ansökan om åtagande) eller fjärrkontroll, det kan leda till kod från tredje part som inte autentiseras av digital signatur, avlyssnar autentiseringsparametrar, ökar behörigheter, gör konfigurationsändringar eller kringgår brandväggsbegränsningar.
För att genomföra studien, Microsoft uttryckte sin vilja att ge deltagarna tillgång till produkter och tjänster, Azure Sphere SDK, teknisk dokumentation, samt tillhandahålla en kommunikationskanal med plattformsutvecklarna.
Microsoft samarbetar med flera teknikföretag som har expertis inom IoT-säkerhetsforskning för att lansera Azure Sphere Security Research Challenge, dessa partners inkluderar Avira, Baidu International Technology, Bitdefender, Bugcrowd, Cisco Systems (Talos), ESET, FireEye , F-Secure, HackerOne, K7 Computing, McAfee, Palo Alto Networks och Zscaler.
Om du är intresserad av att få tillgång till detta forskningsprogram, du måste fylla i följande ansökningsformulär före den 15 maj 2020.
Ansökningar kommer att granskas varje vecka och godkända forskare kommer att meddelas via e-post. Denna forskningsutmaning sträcker sig från den 1 juni 2020 upp den 31 augusti 2020 för forskare accepterade genom den öppna ansökan.
Slutligen, om du är intresserad av att veta mer om det, kan du konsultera detaljerna I följande länk.