Microsoft-ը 374 դոլար պարգեւավճար է վճարել տեղեկատվական անվտանգության հետազոտողներին Azure Sphere Security Research Challenge-ի շրջանակներում, որը տևեց երեք ամիս: Հետազոտության ընթացքում փորձագետները կարողացել են հայտնաբերել անվտանգության 300 կարևոր խոցելիություն, որոնք շտկվել են 20, 20.07 և 20.08 թարմացումների թողարկումներում: Ընդհանուր առմամբ մրցույթին մասնակցել է 20.09 հետազոտող 70 երկրից։
Որպես ուսումնասիրության մաս՝ Microsoft-ը հրավիրել է կիբերանվտանգության աշխարհի առաջատար փորձագետներին և անվտանգության լուծումներ մատակարարողներին՝ փորձելով կոտրել սարքերը՝ օգտագործելով հարձակումների այն տեսակները, որոնք առավել հաճախ օգտագործում են հարձակվողները: Մրցակիցներին տրամադրվել է զարգացման փաթեթ, անմիջական շփում ՕՀ-ի անվտանգության թիմի հետ, էլեկտրոնային փոստի աջակցություն և օպերացիոն համակարգի համար հանրությանը հասանելի միջուկի կոդը:
Մրցույթի նպատակն էր կենտրոնացնել հետազոտողների ուշադրությունը այն բանի վրա, թե որն է ամենամեծ ազդեցությունը հաճախորդների անվտանգության վրա: Հետևաբար, փորձագետներին տրվել են վեց հետազոտական սցենարներ՝ մինչև 20% Azure Bounty-ի ստանդարտ պարգևից (մինչև 40 դոլար), ինչպես նաև 000 ԱՄՆ դոլար՝ բարձր առաջնահերթ երկու սցենարների համար:
Մի քանի մասնակիցներ օգնեցին բացահայտել պոտենցիալ վտանգավոր խոցելիությունները Azure Sphere-ում: Մրցույթը ստացել է ընդհանուր առմամբ 40 հայտ, որոնցից 30-ը հանգեցրել է արտադրանքի բարելավմանը: Նրանցից 374-ը կարող էին ստանալ մրցանակներ, որոնք ընդհանուր առմամբ կազմում էին $300:
Ուսումնասիրությունն իրականացվել է Avira, Baidu International Technology, Bitdefender, Bugcrowd, Cisco Systems Inc (Talos), ESET, FireEye, F-Secure Corporation, HackerOne, K7 Computing, McAfee, Palo Alto Networks և Zscaler-ի հետ համատեղ:
Source: www.habr.com