Nhân dân microsoft anh ấy muốn ném ngôi nhà ra ngoài cửa sổ với thông báo gần đây trong đó anh ấy thông báo rằng đsẵn sàng trả phần thưởng lên tới một trăm nghìn đô la cho những người đến nhận dạng và chia sẻ với họ lỗ hổng bảo mật trong nền tảng Azure Sphere IoT của bạn được xây dựng dựa trên nhân Linux và sử dụng cách ly hộp cát cho các dịch vụ và ứng dụng cơ bản.
Giải thưởng được hứa hẹn cho việc chứng minh các lỗ hổng trong hệ thống con Pluton (gốc của sự tin cậy được triển khai trong chip) hoặc Thế giới an toàn (hộp cát). Chuỗi phần thưởng này là một phần của chương trình một thử thách ba tháng mới và đưa ra phần thưởng cao nhất là 100,000 đô la cho các nhà nghiên cứu có thể chạy mã trên Azure Pluto và Azure Secure World.
Nền tảng ứng dụng Azure Sphere bao gồm Normal World, chế độ người dùng tương đương với Linux và Secure World, nằm dưới nhân Linux tùy chỉnh của Microsoft, nơi Security Monitor chạy. Chỉ mã do Microsoft cung cấp mới có thể chạy ở chế độ giám sát hoặc trong Thế giới an toàn, Microsoft lưu ý.
Nếu bạn không biết của nền tảng Azure Sphere, bạn nên biết rằng nó được thiết kế để tạo ra các thiết bị Internet of Things (IoT) được tạo dựa trên vi điều khiển công suất thấp (MCU, đơn vị vi điều khiển) với hệ thống con ngoại vi tích hợp.
Azure Sphere cũng vậy được sử dụng trong thiết bị bán lẻVí dụ, các công ty như Starbucks. Một trong những đặc điểm của nền tảng là hệ thống con Pluton, được thiết kế để cung cấp phần cứng để mã hóa, lưu trữ khóa riêng và thực hiện các hoạt động mật mã phức tạp. Pluton bao gồm một bộ xử lý chuyên dụng riêng biệt, công cụ mã hóa, trình tạo số ngẫu nhiên phần cứng và kho khóa riêng biệt.
Sáng kiến này được nhắm mục tiêu cụ thể vào Azure Sphere OS và không bao gồm các hệ thống con đám mây đã được bao gồm trong một chương trình phần thưởng riêng biệt.
Thử thách nghiên cứu mới này nhằm mục đích tạo ra nghiên cứu bảo mật có tác động cao mới trên Azure Sphere, một giải pháp bảo mật IoT toàn diện cung cấp bảo mật đầu cuối trên phần cứng, hệ điều hành và đám mây. Mặc dù Azure Sphere triển khai bảo mật từ trước và theo mặc định, Microsoft nhận ra rằng bảo mật không phải là sự kiện diễn ra một lần.
Rủi ro phải được giảm thiểu liên tục trong suốt vòng đời của một loạt các thiết bị và dịch vụ ngày càng phát triển. Việc thu hút cộng đồng nghiên cứu bảo mật để điều tra các lỗ hổng có tác động cao trước khi kẻ xấu làm là một phần của phương pháp toàn diện mà Azure Sphere đang thực hiện để giảm thiểu rủi ro.
Để nhận được tiền thưởng, cần phải chứng minh lỗ hổng suốt trong một cuộc tấn công cục bộ (cam kết ứng dụng) hoặc từ xa, nó có thể dẫn đến mã của bên thứ ba không được xác thực bằng chữ ký số, chặn các tham số xác thực, tăng đặc quyền, thực hiện thay đổi cấu hình hoặc vượt qua các hạn chế của tường lửa.
Để thực hiện nghiên cứu, Microsoft bày tỏ sự sẵn sàng cung cấp cho người tham gia quyền truy cập vào các sản phẩm và dịch vụ, Azure Sphere SDK, tài liệu kỹ thuật cũng như cung cấp kênh giao tiếp với các nhà phát triển nền tảng.
Microsoft đã hợp tác với một số công ty công nghệ mang chuyên môn về nghiên cứu bảo mật IoT để khởi động Thử thách nghiên cứu bảo mật Azure Sphere, các đối tác này bao gồm Avira, Baidu International Technology, Bitdefender, Bugcrowd, Cisco Systems (Talos), ESET, FireEye, F-Secure, HackerOne, K7 Computing, McAfee, Palo Alto Networks và Zscaler.
Nếu bạn quan tâm đến việc yêu cầu quyền truy cập vào chương trình nghiên cứu này, bạn phải điền vào mẫu đơn sau trước ngày 15/2020/XNUMX.
Các ứng dụng sẽ được xem xét hàng tuần và các nhà nghiên cứu được chấp nhận sẽ được thông báo qua email. Thách thức nghiên cứu này trải dài từ vào ngày 1 tháng 2020 năm XNUMX lên vào ngày 31 tháng 2020 năm XNUMX cho các nhà nghiên cứu được chấp nhận thông qua ứng dụng mở.
Cuối cùng, nếu bạn quan tâm muốn biết thêm về nó, bạn có thể tham khảo chi tiết Trong liên kết sau đây.