Tokom posljednjih mjeseci Google je posebnu pažnju posvetio sigurnosnim pitanjima nalazi u kernelu Linux i KubernetesKao iu novembru prošle godine, Google je povećao veličinu isplata pošto je kompanija utrostručila nagrade za eksploataciju za ranije nepoznate greške u jezgru Linuxa.
Ideja je bila da ljudi otkriju nove načine za eksploataciju kernela, posebno u odnosu na Kubernetes koji radi u oblaku. Google sada izvještava da je program za pronalaženje grešaka bio uspješan, primio je devet izvještaja u tri mjeseca i isplatio više od 175,000 dolara istraživačima.
I to kroz post na blogu Google je ponovo objavio najavu o proširenju inicijative da platite novčane nagrade za identifikaciju sigurnosnih problema u Linux kernelu, platformi za orkestraciju Kubernetes kontejnera, Google Kubernetes Engine (GKE) i Kubernetes Capture the Flag (kCTF) okruženje ranjivosti konkurencije.
U postu se to spominje sada program nagrađivanja uključuje dodatni bonus 20,000 dolara za ranjivosti nultog dana za eksploatacije koje ne zahtijevaju podršku korisničkog prostora imena i za demonstriranje novih tehnika eksploatacije.
Osnovna isplata za demonstriranje radnog podviga na kCTF-u je 31 dolara (osnovna isplata se dodeljuje učesniku koji prvi pokaže radni eksploat, ali bonus isplate se mogu primeniti na naknadne eksploatacije za istu ranjivost).
Povećali smo naše nagrade jer smo prepoznali da kako bismo privukli pažnju zajednice moramo uskladiti naše nagrade s njihovim očekivanjima. Smatramo da je proširenje bilo uspješno, te bismo ga željeli produžiti barem do kraja godine (2022.).
U posljednja tri mjeseca primili smo 9 prijava i do sada smo platili preko 175 dolara.
U publikaciji to možemo vidjeti ukupno, uzimajući u obzir bonuse, maksimalna nagrada za podvig (problemi identifikovani na osnovu analize ispravki grešaka u bazi koda koji nisu eksplicitno označeni kao ranjivosti) može dostići do 71 dolara (ranije je najveća nagrada bila 31 dolara), a za nulti dan (probleme za koje još nema rješenja) plaća se do 337 dolara (ranije je najveća nagrada bila 91,337 dolara). Program plaćanja važiće do 31.
Važno je napomenuti da je u posljednja tri mjeseca, Google je obradio 9 zahtjeva csa informacijama o ranjivosti, za šta je plaćeno 175 hiljada dolara.
Istraživači koji su učestvovali pripremili su pet eksploatacija za ranjivosti nultog dana i dva za jednodnevne ranjivosti. Tri ispravljena problema u Linux kernelu su javno otkrivena (CVE-1-2021 u cgroup-v4154, CVE-1-2021 u af_packet i CVE-22600-2022 u VFS) (ovi problemi su već identifikovani preko Syzkaller-a i za kernel dodani su popravci za dva problema).
Ove promjene povećavaju neke jednodnevne eksploatacije na 1 USD (u odnosu na 71 USD) i čine maksimalnu nagradu za jedan eksploat od 337 USD (u odnosu na 31 USD). Također ćemo platiti čak i za duplikate najmanje 337 USD ako pokažu nove tehnike eksploatacije (umjesto 91 USD). Međutim, također ćemo ograničiti broj nagrada za 337 dan na samo jednu po verziji/gradnji.
Postoji 12-18 GKE izdanja godišnje na svakom kanalu, a imamo dvije grupe na različitim kanalima, tako da ćemo platiti osnovnu nagradu od 31 USD do 337 puta (bez ograničenja za bonuse). Iako ne očekujemo da će svako ažuriranje imati važeću 36-dnevnu isporuku, voljeli bismo čuti drugačije.
Kao takvo u najavi se navodi da suma uplata zavisi od nekoliko faktora: da li je pronađeni problem ranjivost nultog dana, da li su potrebni neprivilegovani korisnički prostori imena, da li koristi neke nove metode eksploatacije. Svaki od ovih poena dolazi sa bonusom od $ 20,000, što na kraju podiže plaćanje za radni eksploat na $ 91,337.
Konačno sAko vas zanima više o tome o napomeni, detalje možete provjeriti u originalnom postu Na sledećem linku.