„Microsoft“ apie pasirengimą mokėti , iki šimto tūkstančių dolerių, už daiktų interneto platformos spragos nustatymą , paremtas Linux branduoliu ir naudojant smėlio dėžės izoliaciją pagrindinėms paslaugoms ir programoms. Prizas žadamas už posistemio pažeidžiamumo demonstravimą (luste įdiegta pasitikėjimo šaknis) arba (smėlio dėžė).
Apdovanojimas yra trijų mėnesių dalis , kuris tęsis nuo 1 m. birželio 31 d. iki rugpjūčio 2020 d. Iniciatyva skirta konkrečiai „Azure Sphere“ OS ir neapima debesų posistemių, kurios jau įtrauktos į atskirą atlygio programą. Norėdami gauti apdovanojimą, turite parodyti pažeidžiamumą, dėl kurio vietinės (programos pakenkimo) ar nuotolinės atakos metu gali būti vykdomas trečiosios šalies kodas, kuris nėra pasirašytas skaitmeniniu būdu, perimti autentifikavimo parametrus, išplėsti privilegijas, pakeisti nustatymus. , arba apeiti ugniasienės apribojimus. Norėdami atlikti tyrimą, „Microsoft“ išreiškė pasirengimą dalyviams suteikti prieigą prie produktų ir paslaugų, „Azure Sphere“ SDK, techninės dokumentacijos, taip pat suteikti komunikacijos kanalą su platformos kūrėjais.
„Azure Sphere“ platforma skirta kurti daiktų interneto įrenginius, pagrįstus energiją taupančiais mikrovaldikliais (MCU, mikrovaldiklio bloku) su integruotais periferiniais posistemiais. „Azure Sphere“ taip pat naudoja mažmeninės prekybos įranga, pavyzdžiui, tokiose įmonėse kaip „Starbucks“. Viena iš platformos ypatybių yra „Pluton“ posistemė, skirta šifruoti, saugoti privačius raktus ir atlikti sudėtingas kriptografines operacijas. Plutone yra atskiras dedikuotas procesorius, kriptografijos variklis, aparatinės įrangos atsitiktinių skaičių generatorius ir izoliuota raktų saugykla.
Be to, galima pažymėti apie bandymą parduoti privačių Microsoft GitHub saugyklų turinį nežinomiems asmenims. Nežinomas asmuo teigė, kad jam pavyko atsisiųsti apie 500 GB duomenų iš privačių „Microsoft“ saugyklų, talpinamų „GitHub“, ir kaip įrodymą pateikė ekrano kopijas ir 1 GB duomenų. Daugumai dalyvių įrodymai buvo neįtikinami, nes ekrano kopijas buvo lengva suklastoti, o duomenys apėmė beprasmį failų rinkinį su kinų kalbos tekstu, testais ir kodo fragmentais. Vienas iš „Microsoft“ inžinierių pareiškė, kad nutekėjimas greičiausiai yra netikras, nes „Microsoft“ turi taisyklę, pagal kurią projektai, kurie turi tapti vieši per 30 dienų, skelbiami privačiose „GitHub“ saugyklose.
Šaltinis: opennet.ru