Microsoft circa prontu à pagà , finu à centu mila dollari, per identificà una lacuna in a piattaforma IoT , basatu annantu à u kernel Linux è utilizendu l'isolamentu di sandbox per i servizii è l'applicazioni core. U premiu hè prumessu per dimustrà vulnerabilità in u sottosistema (radica di fiducia implementata nantu à u chip) o (scatola di sabbia).
U premiu face parte di una durata di trè mesi , chì durà da u 1 di ghjugnu à u 31 d'aostu di u 2020. L'iniziativa hè diretta specificamente à Azure Sphere OS è ùn include micca sottosistemi di nuvola, chì sò digià inclusi in un prugramma di ricumpensa separata. Per riceve u premiu, duvete dimustrà una vulnerabilità chì, durante un attaccu lucale (cumprumissu di l'applicazione) o remota, pò purtà à l'esekzione di codice di terzu chì ùn hè micca firmatu digitalmente, intercepte i paràmetri di autentificazione, aumentà i privilegi, fà cambiamenti à i paràmetri. , o aggira e restrizioni firewall. Per fà u studiu, Microsoft hà manifestatu a so prontezza à furnisce i participanti cù l'accessu à i prudutti è servizii, Azure Sphere SDK, documentazione tecnica, è ancu furnisce un canale di cumunicazione cù i sviluppatori di piattaforma.
A piattaforma Azure Sphere hè pensata per creà dispositivi Internet di e cose basati in microcontrollers efficienti in energia (MCU, unità di microcontroller) cù sottosistemi periferichi integrati. Azure Sphere hè ancu utilizatu in l'equipaggiu di vendita, per esempiu, da cumpagnie cum'è Starbucks. Una di e caratteristiche di a piattaforma hè u subsistema Pluton, cuncepitu per furnisce hardware per a criptografia, almacenà chjavi privati è eseguisce operazioni criptografiche cumplesse. Pluton include un processore dedicatu separatu, un mutore di criptografia, un generatore di numeri aleatorii di hardware è un almacenamentu di chjave isolatu.
Inoltre, pò esse nutatu circa un tentativu di vende u cuntenutu di i repositori privati Microsoft GitHub à persone scunnisciute. A persona scunnisciuta hà dichjaratu ch'ellu era capace di scaricà circa 500 GB di dati da i repositori privati Microsoft allughjati in GitHub, è furnia screenshots è 1 GB di dati cum'è prova. A maiò parte di i participanti anu truvatu l'evidenza inconclusiva, postu chì i screenshots eranu faciuli di falsificà, è e dati includenu un inseme di fugliali senza significatu cù testu, testi è snippets di codice cinese. Unu di l'ingegneri di Microsoft hà dichjaratu chì a fuga hè prubabilmente una falsa, postu chì Microsoft hà una regula chì i prughjetti chì devenu esse publichi in 30 ghjorni sò publicati in repositori privati in GitHub.
Source: opennet.ru