Microsoft maksevalmiduse kohta , kuni sada tuhat dollarit IoT platvormi lünga tuvastamise eest , põhineb Linuxi tuumal ja kasutab põhiteenuste ja rakenduste jaoks liivakastiisolatsiooni. Auhinda lubatakse alamsüsteemi haavatavuste demonstreerimise eest (kiibil rakendatud usaldusjuur) või (liivakast).
Auhind on osa kolmekuulisest perioodist , mis kestab 1. juunist 31. augustini 2020. Algatus on suunatud spetsiaalselt Azure Sphere OS-ile ja ei hõlma pilve alamsüsteeme, mis on juba eraldi preemiaprogrammis. Auhinna saamiseks peate demonstreerima haavatavust, mis võib kohaliku (rakenduse ohtu sattumise) või kaugrünnaku ajal viia kolmanda osapoole koodi käivitamiseni, mis ei ole digitaalselt allkirjastatud, peatada autentimise parameetreid, suurendada privileege, muuta seadeid. või tulemüüri piirangutest mööda minna. Uuringu läbiviimiseks väljendas Microsoft valmisolekut pakkuda osalejatele juurdepääsu toodetele ja teenustele, Azure Sphere SDK-le, tehnilisele dokumentatsioonile, samuti suhtluskanalit platvormi arendajatega.
Azure Sphere'i platvorm on mõeldud asjade Interneti seadmete loomiseks, mis põhinevad energiatõhusatel mikrokontrolleritel (MCU, mikrokontrolleri üksus) koos integreeritud välisseadmete alamsüsteemidega. Azure Sphere'i kasutavad ka jaemüügiseadmetes näiteks sellised ettevõtted nagu Starbucks. Üks platvormi funktsioone on Plutoni alamsüsteem, mis on loodud pakkuma riistvara krüptimiseks, privaatvõtmete salvestamiseks ja keeruliste krüptograafiliste toimingute tegemiseks. Pluton sisaldab eraldi spetsiaalset protsessorit, krüptograafiamootorit, riistvaralist juhuslike arvude generaatorit ja isoleeritud võtmete salvestusruumi.
Lisaks võib märkida katse kohta müüa privaatsete Microsoft GitHubi hoidlate sisu tundmatutele isikutele. Tundmatu isik teatas, et suutis GitHubis hostitud Microsofti privaatsetest hoidlatest alla laadida umbes 500 GB andmeid ning esitas tõestuseks ekraanipilte ja 1 GB andmeid. Enamik osalejaid leidis, et tõendid ei ole veenvad, kuna ekraanipilte oli lihtne võltsida ja andmed sisaldasid mõningaid mõttetuid hiinakeelse tekstiga failide komplekti, teste ja koodijuppe. Üks Microsofti inseneridest teatas, et leke on tõenäoliselt võlts, kuna Microsoftil on reegel, mille kohaselt postitatakse projektid, mis peavad 30 päeva jooksul avalikuks saama, GitHubi privaatsetesse hoidlatesse.
Allikas: opennet.ru