Microsoft назначил премию до $100000 за выявление уязвимости в Linux-платформе Azure Sphere

07.05.2020 07:46

Компания Microsoft объявила о готовности выплатить премию, размером до ста тысяч долларов, за выявление бреши в IoT-платформе Azure Sphere, построенной на базе ядра Linux и применяющей sandbox-изоляцию для основных сервисов и приложений. Премия обещана за демонстрацию уязвимостей в подсистеме Pluton (корень доверия, реализованный в чипе) или Secure World (sandbox).

Премия является частью трёхмесячной исследовательской программы, которая продлится с 1 июня по 31 августа 2020 года. Инициатива нацелена именно на Azure Sphere OS и не включает подсистемы облака, которые уже включены в отдельную программу вознаграждения. Для получения премии необходимо продемонстрировать уязвимость, которая в ходе локальной (компрометация приложения) или удалённой атаки может привести к выполнению незаверенного цифровой подписью стороннего кода, перехватить параметры аутентификации, повысить привилегии, внести изменений в настройки или обойти ограничения межсетевого экрана. Для проведения исследования компания Microsoft выразила готовность предоставить участникам доступ к продуктам и сервисам, Azure Sphere SDK, технической документации, а также обеспечить канал связи с разработчиками платформы.

Платформа Azure Sphere предназначена для создания устройств интернета-вещей, построенных на базе энегоэффективных микроконтроллеров (MCU, microcontroller unit) с интегрированными периферийными подсистемами. Azure Sphere используется в том числе в торговом оборудовании, например таких компаний, как Starbucks. Одной из особенностей платформы является подсистема Pluton, предназначенная для предоставления аппаратных средств для шифрования, хранения закрытых ключей и выполнения сложных криптографических операций. Pluton включает в себя отдельный специализированный процессор, криптографический движок, аппаратный генератор случайных чисел и изолированное хранилище ключей.

Дополнительно можно отметить появление сведений о попытке продажи неизвестным содержимого приватных GitHub-репозиториев Microsoft. Неизвестный заявил, что смог загрузить около 500 ГБ данных из приватных репозиториев Microsoft, размещённых на GitHub, и предоставил в качестве доказательства скриншоты и 1 ГБ данных. Большинство участников сочли доказательства неубедительными, так как скриншоты легко подделать, а в данных фигурировал какой-то бессмысленный набор файлов с текстом на китайском языке, тестами и отрывками кода. Один из инженеров Microsoft в комментарии заявил, что утечка вероятно является фейком, так как в Microsoft имеется правило, в соответствии с которым в приватных репозиториях на GitHub размещаются проекты, которые должны стать публичными в течение 30 дней.

исправить +8 +/–

Автор новости: Аноним

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/52892-microsoft

Ключевые слова: microsoft, azure, sphere

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (29)

1.1, ryoken (ok), 09:46, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А сколько граждане жулики за такие дырки согласны отдать денег?

2.2, Аннонним (?), 09:58, 07/05/2020 [^] [^^] [^^^] [ответить]	–2 +/–
Вы имеете в виду плату от заказчиков таких бэкдоров, которые нельзя обнаружить даже за 100000$?

2.4, Аноним (4), 10:20, 07/05/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Зависит от того, сколько на этой дырке можно заработать. Массовая эксплуатация уязвимости неизбежно привлечёт к ней внимание, и кто-то ее переоткроет и получится свои стотыщ. Плюс само наличие официальной баг баунти программы означает высокий риск того, что купленную на чёрном рынке уязвимость может найти кто-то другой уже завтра. Так что для не особо широко используемого продукта на чёрном рынке вряд ли заплатят больше объявленного бонуса.

2.7, Аноним (7), 11:04, 07/05/2020 [^] [^^] [^^^] [ответить]	–3 +/–
Зато теперь когда никто никаких дыр можно бесплатно говорить что дистр безопасный. Хотя майки сами туда бекдоры и вставили.

1.3, Аноним (3), 10:11, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]

–3 +/–

> подсистема Pluton, предназначенная для предоставления аппаратных средств для шифрования, хранения закрытых ключей и выполнения сложных криптографических операций

Такие вещи должны математически верифицироваться и доказывается невозможность взлома.

Вместо этого M$ предлагает поискать дыру и продать найденное ейже.

Конечно дыру поищут. А вот продадут ли ее M$ - это вопрос.

2.5, Аноним (4), 10:22, 07/05/2020 [^] [^^] [^^^] [ответить]	+5 +/–
Верификация не защищает от уязвимостей в зависимостях. Верифицировать же все зависимости нереально.

1.6, Аноним (7), 11:02, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]	+7 +/–
Это надо чтобы хоть кто-то начал ее изучать и пользоваться. А 100к это морковка чтобы ослы за ней потянулись.

2.12, Аноним (12), 11:38, 07/05/2020 [^] [^^] [^^^] [ответить]	+/–
именно. лучше бы пообещали 100к первому опеннет комментатору, который выучит русский язык

1.11, Аноним (11), 11:36, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]	+6 +/–
>в 100 000 долларов >ДО ста тысяч долларов Ясно.

2.24, Аноним (24), 19:38, 07/05/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Понятно.

1.13, ютуб ютубов (?), 12:24, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]	–6 +/–
всё, пошел искать уязвимости. сто тысяч долларов лишними не будут

2.16, Led (ok), 12:46, 07/05/2020 [^] [^^] [^^^] [ответить]	+10 +/–
Лучше иди искать сто тысяч долларов - для тебя это реальнее.

3.21, ютуб ютубов (?), 13:49, 07/05/2020 [^] [^^] [^^^] [ответить]	–3 +/–
И мне не указывай, я лучше тебя знаю, что мне делать

3.29, Аноним (29), 07:23, 08/05/2020 [^] [^^] [^^^] [ответить]	–4 +/–
Как и для тебя.

1.14, Аноним (14), 12:31, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
> 'в соответствии с которым в приватных репозиториях на GitHub размещаются проекты, которые должны стать публичными в течение 30 дней. ' чиво? нет такого

1.15, Аноним (14), 12:33, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
блин вы уточняйте, что это репозитории от Майкрософта,а не юзеров, Майкрософт же купил гитхаб

1.17, YetAnotherOnanym (ok), 12:54, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Azure Sphere Мда... Взять клиентов на такой короткий поводок - MS превзошли самих себя.

1.18, Аноним (18), 13:06, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]

+7 +/–

>>назначил премию в $100000 за выявление уязвимости...

>>объявила о готовности выплатить премию, размером до ста тысяч >>долларов, за выявление бреши...

никто кроме меня не видит в этом принципиальной разницы?!!!

>>назначил премию в $100000

и
>>готовности выплатить до ста тысяч долларов

КАРЛ?!
!!!!

2.19, Аноним (18), 13:08, 07/05/2020 [^] [^^] [^^^] [ответить]	+3 +/–
Верните в зад старый ламповый опеннет!!!!

1.22, ха (?), 15:17, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]	+8 +/–
Что здесь делает эта реклама проприетарного сервиса?

1.23, microsoft (?), 17:48, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Нууу пока прайс не подростет раз в 10...

1.25, Страдивариус (?), 20:07, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Кто нибудь расскажет причем здесь IoT?

2.27, YetAnotherOnanym (ok), 21:19, 07/05/2020 [^] [^^] [^^^] [ответить]	+3 +/–
> Кто нибудь расскажет причем здесь IoT? При том, что MS пропихивает концепцию IoT, в которой устройства оснащены микроконтроллером с прошивкой на основе Linux, в которой каждый чих и каждый пук делаются через облачный сервис, развёрнутый на Азуре.

3.28, Страдивариус (?), 21:23, 07/05/2020 [^] [^^] [^^^] [ответить]	+/–
>> Кто нибудь расскажет причем здесь IoT? > При том, что MS пропихивает концепцию IoT, в которой устройства оснащены микроконтроллером > с прошивкой на основе Linux, в которой каждый чих и каждый > пук делаются через облачный сервис, развёрнутый на Азуре. Нихера се IoT. То, что с Linux на борту - это уже не IoT, а полноценный компьютер фактически.

3.31, MS (??), 12:46, 08/05/2020 [^] [^^] [^^^] [ответить]

+/–

Это не мы ее пропихиваем - ее уже индусы до нас пропихнули.

Ну ты же хочешь приложеньице на мабилочке, чтоб спустить воду в унитазе уже доехав до работы? Ну и как тебе эту фичечку предоставить без облачкоооов?

И я бы на твоем месте - выбирал наше решение - потому что уже было минимум две истории (гуг... бингуй) когда индусский стартап превращался в тыкву из-за того что Ипать Раджа сбежал со всеми деньгами, и в результате умные дома превращались в сараи без света и отопления (иногда еще и приходилось звонить 911, потому что входная дверь была шибкоумная и запирала хозя....жильца внутри, поскольку команды от хозяина на открытие не получала).

1.26, Lex (??), 21:06, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
“в Microsoft имеется правило, в соответствии с которым в приватных репозиториях на GitHub размещаются проекты, которые должны стать публичными в течение 30 дней” -Однако самое главное, как всегда, мельком и между строк. Собсно, это всё, что нужно знать о гитхабовской безопасности даже по меркам владельца гитхаба...

1.30, vlpoliakov (?), 10:09, 08/05/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
как это на линукс?!!

1.32, Аноним (32), 17:48, 08/05/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Azure Sphere, построенной на базе ядра Linux я не понял, они эту шляпу ещё продают? А GPL вот это всё?

1.33, Аноним (33), 12:09, 08/03/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
дыры стоят дороже чем они предлагают

игнорирование участников | лог модерирования

Добавить комментарий

Текст: