Microsoft về sự sẵn sàng chi trả , lên tới một trăm nghìn đô la, để xác định lỗ hổng trong nền tảng IoT , dựa trên nhân Linux và sử dụng cách ly hộp cát cho các dịch vụ và ứng dụng cốt lõi. Giải thưởng được hứa hẹn cho việc chứng minh các lỗ hổng trong hệ thống con (gốc tin cậy được triển khai trên chip) hoặc (hộp cát).
Giải thưởng là một phần của chương trình ba tháng , sẽ kéo dài từ ngày 1 tháng 31 đến ngày 2020 tháng XNUMX năm XNUMX. Sáng kiến này đặc biệt nhắm tới Azure Sphere OS và không bao gồm các hệ thống con đám mây vốn đã được đưa vào một chương trình khen thưởng riêng. Để nhận được giải thưởng, bạn phải chứng minh một lỗ hổng bảo mật mà trong quá trình tấn công cục bộ (xâm phạm ứng dụng) hoặc từ xa, có thể dẫn đến việc thực thi mã của bên thứ ba không được ký điện tử, chặn các tham số xác thực, nâng cấp đặc quyền, thực hiện thay đổi đối với cài đặt , hoặc bỏ qua các hạn chế của tường lửa. Để tiến hành nghiên cứu, Microsoft bày tỏ sẵn sàng cung cấp cho người tham gia quyền truy cập vào các sản phẩm và dịch vụ, Azure Sphere SDK, tài liệu kỹ thuật cũng như cung cấp kênh liên lạc với các nhà phát triển nền tảng.
Nền tảng Azure Sphere được thiết kế để tạo ra các thiết bị Internet of Things dựa trên bộ vi điều khiển tiết kiệm năng lượng (MCU, bộ vi điều khiển) với các hệ thống con ngoại vi tích hợp. Azure Sphere cũng được sử dụng trong các thiết bị bán lẻ, chẳng hạn như bởi các công ty như Starbucks. Một trong những tính năng của nền tảng này là hệ thống con Pluton, được thiết kế để cung cấp phần cứng để mã hóa, lưu trữ khóa riêng và thực hiện các hoạt động mã hóa phức tạp. Pluton bao gồm một bộ xử lý chuyên dụng riêng biệt, công cụ mã hóa, bộ tạo số ngẫu nhiên phần cứng và bộ lưu trữ khóa biệt lập.
Ngoài ra, có thể ghi nhận về nỗ lực bán nội dung của kho lưu trữ Microsoft GitHub riêng tư cho những người không rõ danh tính. Người này tuyên bố rằng anh ta có thể tải xuống khoảng 500 GB dữ liệu từ kho lưu trữ riêng tư của Microsoft được lưu trữ trên GitHub, đồng thời cung cấp ảnh chụp màn hình và 1 GB dữ liệu làm bằng chứng. Hầu hết những người tham gia đều nhận thấy bằng chứng không thuyết phục vì ảnh chụp màn hình rất dễ bị giả mạo và dữ liệu bao gồm một số tập hợp tệp vô nghĩa với văn bản, bài kiểm tra và đoạn mã bằng tiếng Trung Quốc. Một trong những kỹ sư của Microsoft tuyên bố rằng rò rỉ có thể là giả mạo, vì Microsoft có quy định theo đó các dự án phải được công khai trong vòng 30 ngày sẽ được đăng trong kho riêng tư trên GitHub.
Nguồn: opennet.ru