Материалы по тегу: microsoft azure sphere

09.10.2020 [16:32], Сергей Карасёв

Microsoft заплатила более $370 000 за «дыры» в Azure Sphere

Корпорация Microsoft подвела итоги состязания в области информационной безопасности Azure Sphere Security Research Challenge, участники которого занимались поиском уязвимостей в операционной системе Azure Sphere. Эта платформа на ядре Linux ориентирована на применение в области промышленного Интернета вещей (IoT).

Целью соревнования Azure Sphere Security Research Challenge было сосредоточить внимание исследователей на том, что оказывает наибольшее влияние на безопасность клиентов. В состязании приняли участие ведущие эксперты в области кибербезопасности, а также специалисты компаний, разрабатывающих защитные решения.

Участники конкурса, помимо публично доступного кода ядра операционной системы, получили в своё распоряжение комплект разработчика. Им была предоставлена прямая связь с командой обеспечения безопасности ОС и поддержка по электронной почте.

Соревнование длилось три месяца, а участие в нём приняли 70 исследователей из 21 страны. С их стороны поступили 40 заявок, 30 из которых привели к улучшению продукта. Вознаграждение присуждено за обнаружение 16 недоработок и уязвимостей. Минимальная сумма выплат составила $3300, максимальная — $48 000. Общий размер призового фонда достиг $374 300.

«В ходе исследования экспертам удалось обнаружить 20 важных уязвимостей в области безопасности, которые были исправлены в выпусках обновлений 20.07, 20.08 и 20.09», — отмечает Microsoft.

Постоянный URL: http://servernews.ru/1022596
06.05.2020 [23:43], Игорь Осколков

$100 тыс. за взлом Linux: Microsoft предлагает обойти защиту Azure Sphere OS

Microsoft расширяет программу поиска уязвимостей в рамках Azure Security Lab, анонсированную на прошлогодней конференции Black Hat. Тогда, напомним, корпорация подняла максимальный размер выплат за найденные баги до $40 тыс. Кроме того, иногда организуются специальные соревнования по поиску проблем в конкретных продуктах и сценариях работы.

На этот раз Microsoft предлагает «проверить на прочность» Azure Sphere OS — первую в истории компании публично доступную ОС на базе ядра Linux.

Azure Sphere OS предназначена для индустриального Интернета вещей. Программно-аппаратная платформа включает одобренную Microsoft специализированную SoC со встроенными средствами безопасности и связи, на которой запускается ОС и которая подключается непосредственно к облаку Azure. В данном случае Microsoft хочет, чтобы исследователи изучили безопасность именно ОС, а не пытались атаковать облачную или аппаратную части.

Если точнее, речь идёт о двух компонентах. Первый — подсистема безопасности Microsoft Pluton. Она отвечает за генерацию и хранение криптоключей, включает в себя генератор истинно случайных чисел и акселератор криптографических функций. Работает она на отдельном ядре, а уникальная пара ключей, которая впоследствии поможет идентифицировать и обезопасить конкретный чип, генерируется Pluton ещё во время изготовления SoC, навсегда сохраняется в её недрах и не доступна снаружи. Подсистема отвечает и за обнаружение попыток вмешательства в работу платформы.

Второй компонент — безопасная «песочница» Secure World, где могут выполняться только приложения от самой Microsoft, в частности, монитор безопасности. На первый взгляд вся эта цепочка достаточно хорошо защищённой. Однако именно это и предстоит выяснить исследователям. За взлом защиты любого из этих двух компонентов и запуск собственного кода корпорация готова заплатить до $100 тыс.

Постоянный URL: http://servernews.ru/1010315
07.12.2019 [15:25], Андрей Галадей

В тестовой сборке Microsoft Azure Sphere появилась поддержка Linux

На этой неделе вышла новая предварительная версия Microsoft Azure Sphere под номером 19.11, которая получила дополнение в виде Linux SDK с Visual Studio Code.

Как отмечается, это пока предварительная версия, которая по умолчанию поддерживает только Ubuntu 18.04 LTS. Хотя по идее возможен запуск на других дистрибутивах и версиях Ubuntu. Утверждается, что разработчик сможет после установки создавать, развёртывать и отлаживать приложения Azure Sphere в Linux, используя либо командную строку, либо Visual Studio Code.

charitydigitalnews.co.uk

charitydigitalnews.co.uk

По крайней мере, так должно быть. На деле же для полноценной работы система пока подходит слабо. Ведь даже установку нужно проводить с sudo, хотя Microsoft услужливо предоставляет скрипт для загрузки и установки SDK. А после каждой перезагрузки придётся запускать отдельный скрипт для подключения к отладочной платформе. 

Кроме того, для работы потребуются CMake и Ninja. А для Visual Studio Code придётся скачивать расширение Azure Sphere из Marketplace. В целом, система пока ещё недоработана, но в перспективе выглядит многообещающе.

Напомним, что «Сферу» представили в прошлом году. Тогда компания оптимистично обещала выпустить готовые IoT-устройства до конца текущего года, но, очевидно, это произойдёт в 2020-м. Также напомним, что, по слухам, Microsoft готовит ещё одну IoT-систему, но уже на базе Windows 10X. А ещё в Редмонде в своё время разработали Windows 10 Core, которую можно запускать на Raspberry Pi.

Постоянный URL: http://servernews.ru/999238
Система Orphus