In den letzten Monaten Google hat besonderes Augenmerk auf Sicherheitsfragen gelegt im Kern gefunden Linux und KubernetesWie im November letzten Jahres erhöhte Google die Höhe der Auszahlungen, da das Unternehmen Exploit-Prämien für zuvor unbekannte Fehler im Linux-Kernel verdreifachte.
Die Idee war, dass die Leute neue Möglichkeiten entdecken könnten, den Kernel auszunutzen, insbesondere in Bezug auf Kubernetes, das in der Cloud ausgeführt wird. Google berichtet jetzt, dass das Fehlersuchprogramm ein Erfolg war, neun Berichte in drei Monaten erhielt und mehr als 175,000 US-Dollar an Forscher auszahlte.
Und das durch einen Blogbeitrag Google veröffentlichte erneut eine Ankündigung über die Ausweitung der Initiative Geldprämien für die Identifizierung von Sicherheitsproblemen im Linux-Kernel, der Kubernetes-Container-Orchestrierungsplattform, der Google Kubernetes Engine (GKE) und der Kubernetes Capture the Flag (kCTF)-Schwachstellenwettbewerbsumgebung zu zahlen.
Der Beitrag erwähnt das Jetzt enthält das Prämienprogramm einen zusätzlichen Bonus 20,000 US-Dollar für Zero-Day-Schwachstellen für Exploits, die keine Benutzer-Namespace-Unterstützung erfordern, und für die Demonstration neuer Exploit-Techniken.
Die Grundauszahlung für die Demonstration eines funktionierenden Exploits beim kCTF beträgt 31 $ (die Grundauszahlung wird dem Teilnehmer zuerkannt, der zuerst einen funktionierenden Exploit demonstriert, aber Bonusauszahlungen können auf nachfolgende Exploits für dieselbe Schwachstelle angewendet werden).
Wir haben unsere Belohnungen erhöht, weil wir erkannt haben, dass wir unsere Belohnungen an ihre Erwartungen anpassen müssen, um die Aufmerksamkeit der Community zu erregen. Wir sehen die Erweiterung als gelungen an und möchten sie daher mindestens bis Ende des Jahres (2022) weiter verlängern.
In den letzten drei Monaten haben wir 9 Einsendungen erhalten und bisher über 175 US-Dollar bezahlt.
In der Veröffentlichung können wir das sehen gesamt, unter Berücksichtigung der Boni, die maximale Belohnung für einen Exploit (Probleme, die basierend auf der Analyse von Fehlerkorrekturen in der Codebasis identifiziert wurden, die nicht ausdrücklich als Schwachstellen gekennzeichnet sind) kann bis zu 71 $ erreichen (zuvor war die höchste Belohnung 31 $) und für ein Zero-Day-Problem (Probleme, für die es noch keine Lösung gibt) werden bis zu 337 $ gezahlt (zuvor war die höchste Belohnung 91,337 $). Das Zahlungsprogramm gilt bis zum 31. Dezember 2022.
Bemerkenswert ist, dass in den letzten drei Monaten Google hat 9 Anfragen bearbeitet cmit Informationen zu Schwachstellen, für die 175 Dollar bezahlt wurden.
Die teilnehmenden Forscher bereiteten fünf Exploits für Zero-Day-Schwachstellen und zwei für 1-Day-Schwachstellen vor. Drei behobene Probleme im Linux-Kernel wurden öffentlich bekannt gegeben (CVE-2021-4154 in cgroup-v1, CVE-2021-22600 in af_packet und CVE-2022-0185 in VFS) (diese Probleme wurden bereits über Syzkaller und für kernel Korrekturen wurden für zwei Probleme hinzugefügt).
Diese Änderungen erhöhen einige 1-Tages-Exploits auf 71 $ (gegenüber 337 $) und machen die maximale Belohnung für einen einzelnen Exploit zu 31 $ (gegenüber 337 $). Wir zahlen auch für Duplikate mindestens 91 US-Dollar, wenn sie neuartige Exploit-Techniken demonstrieren (statt 337 US-Dollar). Wir werden jedoch auch die Anzahl der Belohnungen für 50 Tag auf nur eine pro Version/Build beschränken.
Es gibt 12–18 GKE-Releases pro Jahr auf jedem Kanal, und wir haben zwei Gruppen auf verschiedenen Kanälen, sodass wir die Basisprämien von 31 USD bis zu 337 Mal auszahlen (keine Begrenzung für Boni). Obwohl wir nicht erwarten, dass jedes Update einen gültigen 36-Tages-Versand hat, würden wir gerne etwas anderes hören.
Als solches wird in der Ankündigung erwähnt, dass die Summe der Zahlungen von mehreren Faktoren abhängt: ob das gefundene Problem eine Zero-Day-Schwachstelle ist, ob es nicht privilegierte Benutzer-Namespaces erfordert, ob es neue Exploit-Methoden verwendet. Jeder dieser Punkte kommt mit einem Bonus von 20,000 €, was letztendlich die Zahlung für einen funktionierenden Exploit anhebt $ 91,337.
Endlich sWenn Sie mehr darüber erfahren möchten Über die Notiz können Sie die Details im ursprünglichen Beitrag überprüfen im folgenden Link.