Microsoft om betalingsberedskap , opptil hundre tusen dollar, for å identifisere et gap i IoT-plattformen , basert på Linux-kjernen og bruker sandkasseisolasjon for kjernetjenester og applikasjoner. Prisen utloves for å demonstrere sårbarheter i delsystemet (root of trust implementert på brikken) eller (Sandkasse).
Prisen er en del av en tremånedersperiode , som varer fra 1. juni til 31. august 2020. Initiativet er spesifikt rettet mot Azure Sphere OS og inkluderer ikke skyundersystemer, som allerede er inkludert i et eget belønningsprogram. For å motta prisen må du demonstrere en sårbarhet som under et lokalt (programkompromittering) eller eksternt angrep kan føre til kjøring av tredjepartskode som ikke er digitalt signert, avskjære autentiseringsparametere, eskalere privilegier, gjøre endringer i innstillinger , eller omgå brannmurrestriksjoner. For å gjennomføre studien uttrykte Microsoft sin vilje til å gi deltakerne tilgang til produkter og tjenester, Azure Sphere SDK, teknisk dokumentasjon, samt tilby en kommunikasjonskanal med plattformutviklere.
Azure Sphere-plattformen er designet for å lage Internet of Things-enheter basert på energieffektive mikrokontrollere (MCU, mikrokontrollerenhet) med integrerte perifere undersystemer. Azure Sphere brukes også i detaljhandelsutstyr, for eksempel av selskaper som Starbucks. En av funksjonene til plattformen er Pluton-undersystemet, designet for å gi maskinvare for kryptering, lagring av private nøkler og utførelse av komplekse kryptografiske operasjoner. Pluton inkluderer en separat dedikert prosessor, kryptografimotor, maskinvare tilfeldig tallgenerator og isolert nøkkellagring.
I tillegg kan det bemerkes om et forsøk på å selge innholdet i private Microsoft GitHub-depoter til ukjente personer. Den ukjente personen uttalte at han var i stand til å laste ned omtrent 500 GB data fra private Microsoft-depoter som er vert på GitHub, og ga skjermbilder og 1 GB data som bevis. De fleste deltakerne fant bevisene usikre, siden skjermbilder var enkle å forfalske, og dataene inkluderte et meningsløst sett med filer med kinesisk tekst, tester og kodebiter. En av Microsofts ingeniører uttalte at lekkasjen sannsynligvis er en falsk, siden Microsoft har en regel om at prosjekter som må bli offentlige innen 30 dager legges ut i private arkiver på GitHub.
Kilde: opennet.ru