Microsoft sobre la disposició a pagar , fins a cent mil dòlars, per identificar un buit a la plataforma IoT , basat en el nucli de Linux i utilitzant l'aïllament sandbox per a serveis i aplicacions bàsiques. El premi es promet per demostrar les vulnerabilitats del subsistema (arrel de confiança implementada al xip) o (Sandbox).
El premi forma part d'un període de tres mesos , que durarà de l'1 de juny al 31 d'agost de 2020. La iniciativa està dirigida específicament a Azure Sphere OS i no inclou subsistemes al núvol, que ja estan inclosos en un programa de recompensa independent. Per rebre el premi, heu de demostrar una vulnerabilitat que, durant un atac local (compromís de l'aplicació) o remot, pot provocar l'execució de codi de tercers que no està signat digitalment, interceptar paràmetres d'autenticació, escalar privilegis, fer canvis a la configuració. , o eludir les restriccions del tallafoc. Per dur a terme l'estudi, Microsoft va expressar la seva disposició a oferir als participants accés a productes i serveis, Azure Sphere SDK, documentació tècnica, així com a proporcionar un canal de comunicació amb els desenvolupadors de la plataforma.
La plataforma Azure Sphere està dissenyada per crear dispositius d'Internet de les coses basats en microcontroladors d'eficiència energètica (MCU, unitat de microcontrolador) amb subsistemes perifèrics integrats. Azure Sphere també s'utilitza en equips minoristes, per exemple, per empreses com Starbucks. Una de les característiques de la plataforma és el subsistema Pluton, dissenyat per proporcionar maquinari per al xifratge, emmagatzemar claus privades i realitzar operacions criptogràfiques complexes. Pluton inclou un processador dedicat separat, un motor de criptografia, un generador de nombres aleatoris de maquinari i un emmagatzematge de claus aïllats.
A més, es pot assenyalar sobre un intent de vendre el contingut dels repositoris privats de Microsoft GitHub a persones desconegudes. La persona desconeguda va declarar que va poder descarregar uns 500 GB de dades dels dipòsits privats de Microsoft allotjats a GitHub i va proporcionar captures de pantalla i 1 GB de dades com a prova. La majoria dels participants van trobar que l'evidència no era concloent, ja que les captures de pantalla eren fàcils de falsificar i les dades incloïen un conjunt de fitxers sense sentit amb text xinès, proves i fragments de codi. Un dels enginyers de Microsoft va afirmar que la filtració és probablement una falsificació, ja que Microsoft té una regla segons la qual els projectes que han de fer-se públics en un termini de 30 dies es publiquen en repositoris privats a GitHub.
Font: opennet.ru