人 微软 他想和他一起把房子扔出窗外 最近公告 他在其中宣布愿意支付高达十万美元的奖励 给那些认识并与他们分享的人 Azure Sphere IoT平台中的安全漏洞 它基于Linux内核构建,并对基本服务和应用程序使用沙箱隔离。
该奖项旨在表彰Pluton子系统中的漏洞 (在芯片中实现的信任根)或Secure World(沙盒)。 这一系列的奖励是 新的三个月挑战 并向可以在Azure Pluto和Azure Secure World上运行代码的研究人员提供100,000美元的最高奖励。
Azure Sphere应用程序平台包括标准世界(相当于用户模式的Linux)和安全世界(位于安全监控器运行所在的Microsoft自定义Linux内核下)。 微软指出,只有微软提供的代码才能在主管模式或安全世界中运行。
如果你不知道 Azure Sphere平台的 您应该知道它旨在创建物联网设备 (IoT)已创建 基于低功耗微控制器 (MCU,微控制器单元)和集成的外围子系统。
也是Azure Sphere 用于零售设备例如,星巴克(Starbucks)等公司。 平台的特征之一是子系统 Pluton旨在提供用于加密的硬件, 存储私钥并执行复杂的加密操作。 Pluton包括一个单独的专用处理器,加密引擎,硬件随机数生成器和隔离的密钥库。
该计划专门针对Azure Sphere OS 并且不包括已经包含在单独奖励计划中的云子系统。
这项新的研究挑战旨在在Azure Sphere上进行新的高影响力安全研究,Azure Sphere是一种全面的IoT安全解决方案,可在硬件,操作系统和云之间提供端到端安全性。 虽然Azure Sphere预先实现了安全性,并且默认情况下实现了安全性,但是Microsoft意识到安全性不是一次性事件。
在不断增长的设备和服务范围内,必须不断降低风险。 与安全研究界合作,让高风险者在坏人面前进行调查,这是Azure Sphere为降低风险而采取的整体方法的一部分。
要获得奖金,必须证明存在漏洞 中 局部袭击 (申请承诺) 或远程 它可能导致第三方代码未通过数字签名进行身份验证,拦截身份验证参数,增加特权,进行配置更改或绕过防火墙限制。
为了进行研究, 微软表示愿意为参与者提供产品和服务的访问权限,Azure Sphere SDK,技术文档,以及提供与平台开发人员的沟通渠道。
Microsoft与数家在IoT安全研究领域拥有专业知识的技术公司合作,发起了Azure Sphere安全研究挑战赛,这些合作伙伴包括Avira,百度国际技术,Bitdefender,Bugcrowd,思科系统公司(Talos),ESET,FireEye,F-Secure,HackerOne, K7 Computing,McAfee,Palo Alto Networks和Zscaler。
如果您有兴趣请求访问此研究计划, 您必须填写以下申请表 15年2020月XNUMX日之前。
申请将每周审查,接受的研究人员将通过电子邮件通知。 这项研究挑战涵盖了 1年2020月XNUMX日 拍卖 31年2020月XNUMX日 对于通过开放申请接受的研究人员。
最后,如果您有兴趣了解更多信息,可以查阅详细信息。 在下面的链接中。