Tijekom posljednjih mjeseci Google je posebnu pozornost posvetio sigurnosnim pitanjima nalazi u kernelu Linux i KubernetesKao iu studenom prošle godine, Google je povećao veličinu isplata jer je tvrtka utrostručila nagrade za iskorištavanje za dosad nepoznate greške u jezgri Linuxa.
Ideja je bila da ljudi mogu otkriti nove načine za iskorištavanje kernela, posebno u odnosu na Kubernetes koji radi u oblaku. Google sada izvještava da je program za pronalaženje bugova bio uspješan, primio je devet izvješća u tri mjeseca i isplatio više od 175,000 dolara istraživačima.
I to kroz post na blogu Google je ponovno objavio najavu o proširenju inicijative platiti novčane nagrade za identificiranje sigurnosnih problema u Linux kernelu, platformi za orkestraciju Kubernetes kontejnera, Google Kubernetes Engine (GKE) i Kubernetes Capture the Flag (kCTF) ranjivost okruženju natjecanja.
U postu se to spominje sada program nagrađivanja uključuje dodatni bonus 20,000 USD za ranjivosti nultog dana za eksploatacije koje ne zahtijevaju podršku korisničkog imenskog prostora i za demonstriranje novih tehnika iskorištavanja.
Osnovna isplata za demonstriranje radnog exploit-a na kCTF-u iznosi 31 337 USD (osnovna se isplata dodjeljuje sudioniku koji prvi pokaže radni exploit, ali se bonus isplate mogu primijeniti na naknadne isplate za istu ranjivost).
Povećali smo svoje nagrade jer smo prepoznali da kako bismo privukli pozornost zajednice, moramo svoje nagrade uskladiti s njihovim očekivanjima. Proširenje smatramo uspješnim te ga želimo produžiti barem do kraja godine (2022.).
Tijekom posljednja tri mjeseca primili smo 9 prijava i do sada smo platili više od 175 USD.
U publikaciji to možemo vidjeti ukupno, uzimajući u obzir bonuse, maksimalna nagrada za podvig (problemi identificirani na temelju analize ispravaka bugova u bazi koda koji nisu eksplicitno označeni kao ranjivosti) može doseći do 71 dolara (prije je najviša nagrada bila 31 dolara), a za nulti dan (probleme za koje još nema rješenja) plaća se do 337 dolara (prije je najveća nagrada bila 91,337 dolara). Program plaćanja vrijedi do 31.
Važno je napomenuti da u posljednja tri mjeseca, Google je obradio 9 zahtjeva cs podacima o ranjivostima, za što je plaćeno 175 tisuća dolara.
Istraživači koji su sudjelovali pripremili su pet exploita za ranjivosti nultog dana i dva za jednodnevne ranjivosti. Javno su objavljena tri popravljena problema u jezgri Linuxa (CVE-1-2021 u cgroup-v4154, CVE-1-2021 u af_packet i CVE-22600-2022 u VFS) (ovi problemi su već identificirani putem Syzkallera i za dva ispravci grešaka dodani su kernelu).
Ove promjene povećavaju neke jednodnevne eksploatacije na 1 USD (u odnosu na 71 USD) i čine maksimalnu nagradu za jedno iskorištavanje 337 USD (u odnosu na 31 USD). Također ćemo platiti čak i za duplikate najmanje 337 USD ako pokažu nove tehnike iskorištavanja (umjesto 91 USD). Međutim, također ćemo ograničiti broj nagrada za 337 dan na samo jednu po verziji/gradnji.
Na svakom kanalu postoji 12-18 GKE izdanja godišnje, a imamo dvije grupe na različitim kanalima, tako da ćemo osnovnu nagradu od 31 USD isplatiti do 337 puta (bez ograničenja za bonuse). Iako ne očekujemo da će svako ažuriranje imati valjanu jednodnevnu dostavu, voljeli bismo čuti drugačije.
Kao takav, u priopćenju se navodi da zbroj uplata ovisi o nekoliko čimbenika: ako je pronađeni problem ranjivost nultog dana, zahtijeva li nepovlaštene korisničke imenske prostore, ako koristi neke nove metode iskorištavanja. Svaki od ovih bodova dolazi s bonusom od $ 20,000, što u konačnici podiže plaćanje za radni exploit na $ 91,337.
Napokon sAko vas zanima više o tome o bilješci, detalje možete provjeriti u izvornom postu U sljedećem linku.