The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Microsoft назначил премию до $100000 за выявление уязвимости в Linux-платформе Azure Sphere

07.05.2020 07:46

Компания Microsoft объявила о готовности выплатить премию, размером до ста тысяч долларов, за выявление бреши в IoT-платформе Azure Sphere, построенной на базе ядра Linux и применяющей sandbox-изоляцию для основных сервисов и приложений. Премия обещана за демонстрацию уязвимостей в подсистеме Pluton (корень доверия, реализованный в чипе) или Secure World (sandbox).

Премия является частью трёхмесячной исследовательской программы, которая продлится с 1 июня по 31 августа 2020 года. Инициатива нацелена именно на Azure Sphere OS и не включает подсистемы облака, которые уже включены в отдельную программу вознаграждения. Для получения премии необходимо продемонстрировать уязвимость, которая в ходе локальной (компрометация приложения) или удалённой атаки может привести к выполнению незаверенного цифровой подписью стороннего кода, перехватить параметры аутентификации, повысить привилегии, внести изменений в настройки или обойти ограничения межсетевого экрана. Для проведения исследования компания Microsoft выразила готовность предоставить участникам доступ к продуктам и сервисам, Azure Sphere SDK, технической документации, а также обеспечить канал связи с разработчиками платформы.

Платформа Azure Sphere предназначена для создания устройств интернета-вещей, построенных на базе энегоэффективных микроконтроллеров (MCU, microcontroller unit) с интегрированными периферийными подсистемами. Azure Sphere используется в том числе в торговом оборудовании, например таких компаний, как Starbucks. Одной из особенностей платформы является подсистема Pluton, предназначенная для предоставления аппаратных средств для шифрования, хранения закрытых ключей и выполнения сложных криптографических операций. Pluton включает в себя отдельный специализированный процессор, криптографический движок, аппаратный генератор случайных чисел и изолированное хранилище ключей.

Дополнительно можно отметить появление сведений о попытке продажи неизвестным содержимого приватных GitHub-репозиториев Microsoft. Неизвестный заявил, что смог загрузить около 500 ГБ данных из приватных репозиториев Microsoft, размещённых на GitHub, и предоставил в качестве доказательства скриншоты и 1 ГБ данных. Большинство участников сочли доказательства неубедительными, так как скриншоты легко подделать, а в данных фигурировал какой-то бессмысленный набор файлов с текстом на китайском языке, тестами и отрывками кода. Один из инженеров Microsoft в комментарии заявил, что утечка вероятно является фейком, так как в Microsoft имеется правило, в соответствии с которым в приватных репозиториях на GitHub размещаются проекты, которые должны стать публичными в течение 30 дней.

  1. Главная ссылка к новости (https://www.theverge.com/platf...)
  2. OpenNews: Microsoft опубликовал репозиторий со своими модификациями для ядра Linux
  3. OpenNews: Microsoft представил IoT-платформу Azure Sphere на базе ядра Linux
  4. OpenNews: Публикация Microsoft Edge для Linux включена в список планируемых возможностей
  5. OpenNews: Microsoft предложит подсистему WSL2 (Windows Subsystem for Linux) в Windows 10 2004
  6. OpenNews: Microsoft предложил модуль ядра Linux для проверки целостности системы
Автор новости: Аноним
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/52892-microsoft
Ключевые слова: microsoft, azure, sphere
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (28) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, ryoken (ok), 09:46, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А сколько граждане жулики за такие дырки согласны отдать денег?
     
     
  • 2.2, Аннонним (?), 09:58, 07/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы имеете в виду плату от заказчиков таких бэкдоров, которые нельзя обнаружить даже за 100000$?
     
  • 2.4, Аноним (4), 10:20, 07/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Зависит от того, сколько на этой дырке можно заработать.
    Массовая эксплуатация уязвимости неизбежно привлечёт к ней внимание, и кто-то ее переоткроет и получится свои стотыщ. Плюс само наличие официальной баг баунти программы означает высокий риск того, что купленную на чёрном рынке уязвимость может найти кто-то другой уже завтра.
    Так что для не особо широко используемого продукта на чёрном рынке вряд ли заплатят больше объявленного бонуса.
     
  • 2.7, Аноним (7), 11:04, 07/05/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Зато теперь когда никто никаких дыр можно бесплатно говорить что дистр безопасный. Хотя майки сами туда бекдоры и вставили.
     

  • 1.3, Аноним (3), 10:11, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > подсистема Pluton, предназначенная для предоставления аппаратных средств для шифрования, хранения закрытых ключей и выполнения сложных криптографических операций

    Такие вещи должны математически верифицироваться и доказывается невозможность взлома.

    Вместо этого M$ предлагает поискать дыру и продать найденное ейже.

    Конечно дыру поищут. А вот продадут ли ее M$ - это вопрос.

     
     
  • 2.5, Аноним (4), 10:22, 07/05/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Верификация не защищает от уязвимостей в зависимостях. Верифицировать же все зависимости нереально.
     

  • 1.6, Аноним (7), 11:02, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Это надо чтобы хоть кто-то начал ее изучать и пользоваться. А 100к это морковка чтобы ослы за ней потянулись.
     
     
  • 2.12, Аноним (12), 11:38, 07/05/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    именно. лучше бы пообещали 100к первому опеннет комментатору, который выучит русский язык
     

  • 1.11, Аноним (11), 11:36, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >в 100 000 долларов
    >ДО ста тысяч долларов

    Ясно.

     
     
  • 2.24, Аноним (24), 19:38, 07/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Понятно.
     

  • 1.13, ютуб ютубов (?), 12:24, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    всё, пошел искать уязвимости. сто тысяч долларов лишними не будут
     
     
  • 2.16, Led (ok), 12:46, 07/05/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Лучше иди искать сто тысяч долларов - для тебя это реальнее.
     
     
  • 3.21, ютуб ютубов (?), 13:49, 07/05/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И мне не указывай, я лучше тебя знаю, что мне делать
     
  • 3.29, Аноним (29), 07:23, 08/05/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Как и для тебя.
     

  • 1.14, Аноним (14), 12:31, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > 'в соответствии с которым в приватных репозиториях на GitHub размещаются проекты, которые должны стать публичными в течение 30 дней. '

    чиво? нет такого

     
  • 1.15, Аноним (14), 12:33, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    блин вы уточняйте, что это репозитории от Майкрософта,а не юзеров, Майкрософт же купил гитхаб
     
  • 1.17, YetAnotherOnanym (ok), 12:54, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >  Azure Sphere

    Мда... Взять клиентов на такой короткий поводок - MS превзошли самих себя.

     
  • 1.18, Аноним (18), 13:06, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    >>назначил премию в $100000 за выявление уязвимости...

    и

    >>объявила о готовности выплатить премию, размером до ста тысяч >>долларов, за выявление бреши...

    никто кроме меня не видит в этом принципиальной разницы?!!!

    >>назначил премию в $100000

    и
    >>готовности выплатить до ста тысяч долларов

    КАРЛ?!
    !!!!

     
     
  • 2.19, Аноним (18), 13:08, 07/05/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Верните в зад старый ламповый опеннет!!!!
     

  • 1.22, ха (?), 15:17, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Что здесь делает эта реклама проприетарного сервиса?
     
  • 1.23, microsoft (?), 17:48, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нууу пока прайс не подростет раз в 10...
     
  • 1.25, Страдивариус (?), 20:07, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кто нибудь расскажет причем здесь IoT?
     
     
  • 2.27, YetAnotherOnanym (ok), 21:19, 07/05/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Кто нибудь расскажет причем здесь IoT?

    При том, что MS пропихивает концепцию IoT, в которой устройства оснащены микроконтроллером с прошивкой на основе Linux, в которой каждый чих и каждый пук делаются через облачный сервис, развёрнутый на Азуре.

     
     
  • 3.28, Страдивариус (?), 21:23, 07/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> Кто нибудь расскажет причем здесь IoT?
    > При том, что MS пропихивает концепцию IoT, в которой устройства оснащены микроконтроллером
    > с прошивкой на основе Linux, в которой каждый чих и каждый
    > пук делаются через облачный сервис, развёрнутый на Азуре.

    Нихера се IoT. То, что с Linux на борту - это уже не IoT, а полноценный компьютер фактически.

     
  • 3.31, MS (??), 12:46, 08/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это не мы ее пропихиваем - ее уже индусы до нас пропихнули.

    Ну ты же хочешь приложеньице на мабилочке, чтоб спустить воду в унитазе уже доехав до работы? Ну и как тебе эту фичечку предоставить без облачкоооов?

    И я бы на твоем месте - выбирал наше решение - потому что уже было минимум две истории (гуг... бингуй) когда индусский стартап превращался в тыкву из-за того что Ипать Раджа сбежал со всеми деньгами, и в результате умные дома превращались в сараи без света и отопления (иногда еще и приходилось звонить 911, потому что входная дверь была шибкоумная и запирала хозя....жильца внутри, поскольку команды от хозяина на открытие не получала).

     

  • 1.26, Lex (??), 21:06, 07/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    “в Microsoft имеется правило, в соответствии с которым в приватных репозиториях на GitHub размещаются проекты, которые должны стать публичными в течение 30 дней”

    -Однако самое главное, как всегда, мельком и между строк.
    Собсно, это всё, что нужно знать о гитхабовской безопасности даже по меркам владельца гитхаба...

     
  • 1.30, vlpoliakov (?), 10:09, 08/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    как это на линукс?!!
     
  • 1.32, Аноним (32), 17:48, 08/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Azure Sphere, построенной на базе ядра Linux

    я не понял, они эту шляпу ещё продают? А GPL вот это всё?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру