Τους τελευταίους μήνες Η Google έχει δώσει ιδιαίτερη προσοχή σε θέματα ασφάλειας που βρέθηκε στον πυρήνα Linux και KubernetesΌπως και τον Νοέμβριο του περασμένου έτους, η Google αύξησε το μέγεθος των πληρωμών καθώς η εταιρεία τριπλασίασε τα bounties εκμετάλλευσης για προηγουμένως άγνωστα σφάλματα στον πυρήνα του Linux.
Η ιδέα ήταν ότι οι άνθρωποι μπορούσαν να ανακαλύψουν νέους τρόπους για να εκμεταλλευτούν τον πυρήνα, ιδιαίτερα σε σχέση με το Kubernetes που τρέχει στο σύννεφο. Η Google αναφέρει τώρα ότι το πρόγραμμα ανεύρεσης σφαλμάτων στέφθηκε με επιτυχία, καθώς έλαβε εννέα αναφορές σε τρεις μήνες και εκταμίευσε περισσότερα από 175,000 $ σε ερευνητές.
Και είναι αυτό μέσω μιας ανάρτησης στο blog Η Google κυκλοφόρησε ξανά μια ανακοίνωση σχετικά με την επέκταση της πρωτοβουλίας να πληρώσετε ανταμοιβές σε μετρητά για τον εντοπισμό ζητημάτων ασφαλείας στον πυρήνα Linux, την πλατφόρμα ενορχήστρωσης κοντέινερ Kubernetes, το Google Kubernetes Engine (GKE) και το περιβάλλον διαγωνισμού ευπάθειας Kubernetes Capture the Flag (kCTF).
Η ανάρτηση το αναφέρει τώρα το πρόγραμμα επιβράβευσης περιλαμβάνει ένα επιπλέον μπόνους 20,000 $ για τρωτά σημεία zero-day για εκμεταλλεύσεις που δεν απαιτούν υποστήριξη χώρου ονομάτων χρήστη και για επίδειξη νέων τεχνικών εκμετάλλευσης.
Η βασική πληρωμή για την επίδειξη ενός λειτουργικού exploit στο kCTF είναι 31 $ (η βασική πληρωμή απονέμεται στον συμμετέχοντα που επιδεικνύει πρώτος ένα λειτουργικό exploit, αλλά οι πληρωμές μπόνους μπορούν να εφαρμοστούν σε επόμενα exploit για την ίδια ευπάθεια).
Αυξήσαμε τις ανταμοιβές μας επειδή αναγνωρίσαμε ότι για να προσελκύσουμε την προσοχή της κοινότητας έπρεπε να ταιριάξουμε τις ανταμοιβές μας με τις προσδοκίες τους. Θεωρούμε ότι η επέκταση ήταν επιτυχής και επομένως θα θέλαμε να την επεκτείνουμε περαιτέρω τουλάχιστον μέχρι το τέλος του έτους (2022).
Τους τελευταίους τρεις μήνες, λάβαμε 9 υποβολές και πληρώσαμε μέχρι στιγμής πάνω από 175 $.
Στη δημοσίευση μπορούμε να το δούμε σύνολο, λαμβάνοντας υπόψη τα μπόνους, η μέγιστη ανταμοιβή για μια εκμετάλλευση (Ζητήματα που εντοπίστηκαν με βάση την ανάλυση διορθώσεων σφαλμάτων στη βάση κώδικα που δεν επισημαίνονται ρητά ως τρωτά σημεία) μπορεί να φτάσει έως και 71 $ (προηγουμένως η υψηλότερη ανταμοιβή ήταν 31 $) και για ένα πρόβλημα μηδενικής ημέρας (προβλήματα για τα οποία δεν υπάρχει ακόμη λύση) καταβάλλονται έως και 337 $ (προηγουμένως η υψηλότερη ανταμοιβή ήταν 91,337 $). Το πρόγραμμα πληρωμών θα ισχύει έως τις 31 Δεκεμβρίου 2022.
Αξίζει να σημειωθεί ότι τους τελευταίους τρεις μήνες, Η Google έχει επεξεργαστεί 9 αιτήματα γμε πληροφορίες για τρωτά σημεία, για τα οποία πληρώθηκαν 175 χιλιάδες δολάρια.
Οι συμμετέχοντες ερευνητές ετοίμασαν πέντε εκμεταλλεύσεις για τρωτά σημεία μηδενικής ημέρας και δύο για ευπάθειες 1 ημέρας. Τρία διορθωμένα ζητήματα στον πυρήνα του Linux έχουν αποκαλυφθεί δημόσια (CVE-2021-4154 στο cgroup-v1, CVE-2021-22600 στο af_packet και CVE-2022-0185 στο VFS) (αυτά τα ζητήματα έχουν ήδη εντοπιστεί μέσω του Syzkaller και για δύο διορθώσεις σφαλμάτων προστέθηκαν στον πυρήνα).
Αυτές οι αλλαγές αυξάνουν ορισμένες εκμεταλλεύσεις 1 ημέρας σε 71 $ (έναντι 337 $) και κάνουν τη μέγιστη ανταμοιβή για ένα μεμονωμένο exploit 31 $ (έναντι 337 $). Θα πληρώσουμε επίσης ακόμη και για διπλότυπα τουλάχιστον 91 $ εάν επιδείξουν νέες τεχνικές εκμετάλλευσης (αντί για 337 $). Ωστόσο, θα περιορίσουμε επίσης τον αριθμό των ανταμοιβών για 50 ημέρα σε μόνο μία ανά έκδοση/κατασκευή.
Υπάρχουν 12-18 εκδόσεις GKE το χρόνο σε κάθε κανάλι και έχουμε δύο ομάδες σε διαφορετικά κανάλια, επομένως θα πληρώσουμε τις βασικές ανταμοιβές των 31 USD έως και 337 φορές (χωρίς όριο για μπόνους). Αν και δεν περιμένουμε κάθε ενημέρωση να έχει έγκυρη αποστολή 36 ημέρας, θα θέλαμε να ακούσουμε διαφορετικά.
Ως εκ τούτου, αναφέρεται στην ανακοίνωση ότι το άθροισμα των πληρωμών εξαρτάται από διάφορους παράγοντες: εάν το πρόβλημα που βρέθηκε είναι μια ευπάθεια zero-day, εάν απαιτεί μη προνομιούχους χώρους ονομάτων χρήστη, εάν χρησιμοποιεί κάποιες νέες μεθόδους εκμετάλλευσης. Κάθε ένα από αυτά τα σημεία συνοδεύεται από ένα μπόνους $ 20,000, το οποίο τελικά αυξάνει την πληρωμή για μια εργασιακή εκμετάλλευση σε $ 91,337.
Τέλος sΑν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό σχετικά με τη σημείωση, μπορείτε να ελέγξετε τις λεπτομέρειες στην αρχική ανάρτηση Στον ακόλουθο σύνδεσμο.