Люди Microsoft він хотів викинути будинок із вікна зі своїми нещодавнє оголошення в якому він оголосив, що eготові виплатити винагороду до ста тисяч доларів тим, хто приходить їх ідентифікувати та поділитися з ними прогалини в безпеці на вашій платформі Azure Sphere IoT який побудований на базі ядра Linux та використовує ізоляцію пісочниці для основних служб та додатків.
Нагорода обіцяна за демонстрацію вразливостей у підсистемі Плутон (корінь довіри, реалізований у чіпі) або Secure World (пісочниця). Ця серія нагород є частиною програми новий тримісячний виклик і пропонує найвищу винагороду в розмірі 100,000 XNUMX доларів для дослідників, які можуть запускати код на Azure Pluto та Azure Secure World.
Платформа додатків Azure Sphere включає Normal World, еквівалент Linux режиму користувача, та Secure World, який знаходиться під спеціальним ядром Microsoft від Microsoft, де працює Security Monitor. Тільки код, наданий корпорацією Майкрософт, може працювати в режимі супервізора або в захищеному світі, зазначає Microsoft.
Якщо ви не знаєте платформи Azure Sphere, ви повинні знати, що він призначений для створення пристроїв Інтернету речей (IoT) створено на базі мікроконтролерів малої потужності (MCU, блоки мікроконтролера) з інтегрованими периферійними підсистемами.
Лазурна сфера теж використовується у роздрібному обладнанніНаприклад, такі компанії, як Starbucks. Однією з характеристик платформи є підсистема Плутон, призначений для забезпечення обладнання для шифрування, зберігати приватні ключі та виконувати складні криптографічні операції. Pluton включає окремий виділений процесор, криптоінструмент, апаратний генератор випадкових чисел та ізольоване сховище ключів.
Ініціатива спеціально націлена на ОС Azure Sphere і не включає хмарні підсистеми, які вже включені в окрему програму винагороди.
Це нове завдання дослідження має на меті створити нові високоефективні дослідження безпеки в Azure Sphere, комплексному рішенні безпеки IoT, яке забезпечує наскрізну безпеку обладнання, операційної системи та хмари. Хоча Azure Sphere впроваджує безпеку заздалегідь і за замовчуванням, Microsoft визнає, що безпека не є одноразовою подією.
Ризики слід постійно зменшувати протягом життя постійно зростаючого асортименту пристроїв та послуг. Залучення спільноти дослідників безпеки для дослідження вразливих місць до того, як це роблять погані хлопці, є частиною цілісного підходу, який використовує Azure Sphere для мінімізації ризику.
Щоб отримати бонус, необхідно продемонструвати вразливість під час локальний напад (прихильність заявки) або віддалений, це може призвести до того, що сторонній код не аутентифікується цифровим підписом, перехоплює параметри автентифікації, збільшує привілеї, вносить зміни в конфігурацію або обходить обмеження брандмауера.
Для проведення дослідження Microsoft висловила готовність надати учасникам доступ до продуктів та послуг, Azure Sphere SDK, технічну документацію, а також забезпечення каналу зв'язку з розробниками платформи.
Microsoft співпрацює з декількома технологічними компаніями, які надають досвід у галузі досліджень безпеки IoT для запуску виклику досліджень безпеки Azure Sphere, серед яких Avira, Baidu International Technology, Bitdefender, Bugcrowd, Cisco Systems (Talos), ESET, FireEye, F-Secure, HackerOne, K7 Computing, McAfee, Palo Alto Networks та Zscaler.
Якщо ви зацікавлені у запиті на доступ до цієї дослідницької програми, ви повинні заповнити наступну форму заявки до 15 травня 2020 року.
Заявки будуть розглядатися щотижня, а прийняті дослідники отримуватимуть повідомлення електронною поштою. Цей виклик дослідження охоплює 1 червня 2020 р вгору 31 серпня 2020 року для дослідників, прийнятих через відкриту заявку.
Нарешті, якщо вам цікаво дізнатись більше про це, ви можете проконсультуватися з деталями У наступному посиланні.