Microsoft oor bereidheid om te betaal , tot honderdduisend dollar, vir die identifisering van 'n gaping in die IoT-platform , gebaseer op die Linux-kern en gebruik sandbox-isolasie vir kerndienste en toepassings. Die prys word uitgeloof vir die demonstrasie van kwesbaarhede in die substelsel (wortel van vertroue geïmplementeer op die skyfie) of (sandbak).
Die toekenning is deel van 'n drie maande , wat van 1 Junie tot 31 Augustus 2020 sal duur. Die inisiatief is spesifiek gemik op Azure Sphere OS en sluit nie wolksubstelsels in nie, wat reeds in 'n aparte beloningsprogram ingesluit is. Om die toekenning te ontvang, moet jy 'n kwesbaarheid demonstreer wat tydens 'n plaaslike (aansoek-kompromie) of afgeleë aanval kan lei tot die uitvoering van derdeparty-kode wat nie digitaal onderteken is nie, stawingsparameters onderskep, voorregte kan eskaleer, veranderinge aan instellings kan aanbring. , of omseil brandmuurbeperkings. Om die studie uit te voer, het Microsoft sy gereedheid uitgespreek om aan deelnemers toegang te gee tot produkte en dienste, Azure Sphere SDK, tegniese dokumentasie, asook om 'n kommunikasiekanaal met platformontwikkelaars te verskaf.
Die Azure Sphere-platform is ontwerp vir die skep van Internet of Things-toestelle gebaseer op energiedoeltreffende mikrobeheerders (MCU, mikrobeheerder-eenheid) met geïntegreerde perifere substelsels. Azure Sphere word ook in kleinhandeltoerusting gebruik, byvoorbeeld deur maatskappye soos Starbucks. Een van die kenmerke van die platform is die Pluton-substelsel, wat ontwerp is om hardeware te verskaf vir enkripsie, die stoor van private sleutels en die uitvoer van komplekse kriptografiese bewerkings. Pluton sluit 'n aparte toegewyde verwerker, kriptografie-enjin, hardeware ewekansige getalgenerator en geïsoleerde sleutelberging in.
Daarbenewens kan dit opgemerk word oor 'n poging om die inhoud van private Microsoft GitHub-bewaarplekke aan onbekende persone te verkoop. Die onbekende persoon het gesê dat hy in staat was om ongeveer 500 GB data af te laai vanaf private Microsoft-bewaarplekke wat op GitHub aangebied word, en het skermkiekies en 1 GB data as bewys verskaf. Die meeste deelnemers het die bewyse onoortuigend gevind, aangesien skermkiekies maklik was om te vervals, en die data het 'n betekenislose stel lêers met Chinese teks, toetse en kodebrokkies ingesluit. Een van Microsoft se ingenieurs het gesê dat die lekkasie waarskynlik 'n vals is, aangesien Microsoft 'n reël het waarvolgens projekte wat binne 30 dae openbaar moet word, in private bewaarplekke op GitHub geplaas word.
Bron: opennet.ru