Suicide
07.05.2020, 19:51
Компания Microsoft объявила (https://msrc-blog.microsoft.com/2020/05/05/azure-sphere-security-research-challenge) о готовности выплатить премию (https://www.microsoft.com/en-us/msrc/bounty-microsoft-azure), размером до ста тысяч долларов, за выявление бреши в IoT-платформе Azure Sphere (https://docs.microsoft.com/en-us/azure-sphere/product-overview/what-is-azure-sphere), построенной (https://www.opennet.ru/opennews/art.shtml?num=48452) на базе ядра Linux и применяющей sandbox-изоляцию для основных сервисов и приложений. Премия обещана за демонстрацию уязвимостей в подсистеме Pluton (https://docs.microsoft.com/en-us/azure-sphere/product-overview/what-is-azure-sphere#azure-sphere-architecture) (корень доверия, реализованный в чипе) или Secure World (https://docs.microsoft.com/en-us/azure-sphere/app-development/app-platform) (sandbox).
Премия является частью трёхмесячной исследовательской программы (https://www.microsoft.com/en-us/msrc/azure-security-lab), которая продлится с 1 июня по 31 августа 2020 года. Инициатива нацелена именно на Azure Sphere OS и не включает подсистемы облака, которые уже включены в отдельную программу вознаграждения. Для получения премии необходимо продемонстрировать уязвимость, которая в ходе локальной (компрометация приложения) или удалённой атаки может привести к выполнению незаверенного цифровой подписью стороннего кода, перехватить параметры аутентификации, повысить привилегии, внести изменений в настройки или обойти ограничения межсетевого экрана. Для проведения исследования компания Microsoft выразила готовность предоставить участникам доступ к продуктам и сервисам, Azure Sphere SDK, технической документации, а также обеспечить канал связи с разработчиками платформы.
Платформа Azure Sphere предназначена для создания устройств интернета-вещей, построенных на базе энегоэффективных микроконтроллеров (MCU, microcontroller unit) с интегрированными периферийными подсистемами. Azure Sphere используется в том числе в торговом оборудовании, например таких компаний, как Starbucks. Одной из особенностей платформы является подсистема Pluton, предназначенная для предоставления аппаратных средств для шифрования, хранения закрытых ключей и выполнения сложных криптографических операций. Pluton включает в себя отдельный специализированный процессор, криптографический движок, аппаратный генератор случайных чисел и изолированное хранилище ключей.
Дополнительно можно отметить появление (https://twitter.com/underthebreach/status/1258153076554375168) сведений (https://www.bleepingcomputer.com/news/security/microsofts-github-account-allegedly-hacked-500gb-stolen/) о попытке продажи неизвестным содержимого приватных GitHub-репозиториев Microsoft. Неизвестный заявил, что смог загрузить около 500 ГБ данных из приватных репозиториев Microsoft, размещённых на GitHub, и предоставил в качестве доказательства скриншоты и 1 ГБ данных. Большинство участников сочли доказательства неубедительными, так как скриншоты легко подделать, а в данных фигурировал какой-то бессмысленный набор файлов с текстом на китайском языке, тестами и отрывками кода. Один из инженеров Microsoft в комментарии (https://twitter.com/samsmithnz/status/1258174191834222594) заявил, что утечка вероятно является фейком, так как в Microsoft имеется правило, в соответствии с которым в приватных репозиториях на GitHub размещаются проекты, которые должны стать публичными в течение 30 дней.
07.05.2020
https://www.opennet.ru/opennews/art.shtml?num=52892
Премия является частью трёхмесячной исследовательской программы (https://www.microsoft.com/en-us/msrc/azure-security-lab), которая продлится с 1 июня по 31 августа 2020 года. Инициатива нацелена именно на Azure Sphere OS и не включает подсистемы облака, которые уже включены в отдельную программу вознаграждения. Для получения премии необходимо продемонстрировать уязвимость, которая в ходе локальной (компрометация приложения) или удалённой атаки может привести к выполнению незаверенного цифровой подписью стороннего кода, перехватить параметры аутентификации, повысить привилегии, внести изменений в настройки или обойти ограничения межсетевого экрана. Для проведения исследования компания Microsoft выразила готовность предоставить участникам доступ к продуктам и сервисам, Azure Sphere SDK, технической документации, а также обеспечить канал связи с разработчиками платформы.
Платформа Azure Sphere предназначена для создания устройств интернета-вещей, построенных на базе энегоэффективных микроконтроллеров (MCU, microcontroller unit) с интегрированными периферийными подсистемами. Azure Sphere используется в том числе в торговом оборудовании, например таких компаний, как Starbucks. Одной из особенностей платформы является подсистема Pluton, предназначенная для предоставления аппаратных средств для шифрования, хранения закрытых ключей и выполнения сложных криптографических операций. Pluton включает в себя отдельный специализированный процессор, криптографический движок, аппаратный генератор случайных чисел и изолированное хранилище ключей.
Дополнительно можно отметить появление (https://twitter.com/underthebreach/status/1258153076554375168) сведений (https://www.bleepingcomputer.com/news/security/microsofts-github-account-allegedly-hacked-500gb-stolen/) о попытке продажи неизвестным содержимого приватных GitHub-репозиториев Microsoft. Неизвестный заявил, что смог загрузить около 500 ГБ данных из приватных репозиториев Microsoft, размещённых на GitHub, и предоставил в качестве доказательства скриншоты и 1 ГБ данных. Большинство участников сочли доказательства неубедительными, так как скриншоты легко подделать, а в данных фигурировал какой-то бессмысленный набор файлов с текстом на китайском языке, тестами и отрывками кода. Один из инженеров Microsoft в комментарии (https://twitter.com/samsmithnz/status/1258174191834222594) заявил, что утечка вероятно является фейком, так как в Microsoft имеется правило, в соответствии с которым в приватных репозиториях на GitHub размещаются проекты, которые должны стать публичными в течение 30 дней.
07.05.2020
https://www.opennet.ru/opennews/art.shtml?num=52892