Negli ultimi mesi Google ha prestato particolare attenzione ai problemi di sicurezza trovato nel kernel Linux e KubernetesCome nel novembre dello scorso anno, Google ha aumentato l'entità dei pagamenti poiché la società ha triplicato le ricompense degli exploit per bug precedentemente sconosciuti nel kernel Linux.
L'idea era che le persone potessero scoprire nuovi modi per sfruttare il kernel, in particolare in relazione a Kubernetes in esecuzione nel cloud. Google ora segnala che il programma di ricerca dei bug è stato un successo, ricevendo nove segnalazioni in tre mesi e erogando più di $ 175,000 ai ricercatori.
Ed è attraverso un post sul blog Google ha nuovamente rilasciato un annuncio sull'espansione dell'iniziativa pagare premi in denaro per l'identificazione dei problemi di sicurezza nel kernel Linux, nella piattaforma di orchestrazione dei container Kubernetes, nell'ambiente di competizione per la vulnerabilità di Google Kubernetes Engine (GKE) e Kubernetes Capture the Flag (kCTF).
Il post lo menziona ora il programma a premi include un bonus aggiuntivo $ 20,000 per vulnerabilità zero-day per exploit che non richiedono il supporto dello spazio dei nomi utente e per la dimostrazione di nuove tecniche di exploit.
Il pagamento di base per la dimostrazione di un exploit funzionante al kCTF è di $ 31 (il pagamento di base viene assegnato al partecipante che per primo dimostra un exploit funzionante, ma i pagamenti bonus possono essere applicati agli exploit successivi per la stessa vulnerabilità).
Abbiamo aumentato le nostre ricompense perché abbiamo riconosciuto che per attirare l'attenzione della comunità dovevamo far corrispondere le nostre ricompense alle loro aspettative. Riteniamo che l'espansione sia stata un successo e quindi vorremmo estenderla ulteriormente almeno fino alla fine dell'anno (2022).
Negli ultimi tre mesi, abbiamo ricevuto 9 richieste e finora abbiamo pagato oltre $ 175.
Nella pubblicazione possiamo vederlo totale, tenendo conto dei bonus, la massima ricompensa per un exploit (problemi identificati in base all'analisi delle correzioni di bug nella base di codice che non sono esplicitamente contrassegnati come vulnerabilità) può raggiungere fino a $ 71 (in precedenza la ricompensa più alta era di $ 31) e per un problema zero-day (problemi per i quali non esiste ancora una soluzione) si pagano fino a $ 337 (in precedenza la ricompensa più alta era di $ 91,337). Il programma di pagamento sarà valido fino al 31 dicembre 2022.
È interessante notare che negli ultimi tre mesi, Google ha elaborato 9 richieste ccon informazioni sulle vulnerabilità, per le quali sono stati pagati 175mila dollari.
I ricercatori partecipanti hanno preparato cinque exploit per vulnerabilità zero-day e due per vulnerabilità 1-day. Sono stati divulgati pubblicamente tre problemi risolti nel kernel Linux (CVE-2021-4154 in cgroup-v1, CVE-2021-22600 in af_packet e CVE-2022-0185 in VFS) (questi problemi sono già stati identificati tramite Syzkaller e per due sono state aggiunte correzioni di bug al kernel).
Queste modifiche aumentano alcuni exploit di 1 giorno a $ 71 (contro $ 337) e rendono la ricompensa massima per un singolo exploit $ 31 (contro $ 337). Pagheremo anche per i duplicati almeno $ 91 se dimostrano nuove tecniche di exploit (invece di $ 337). Tuttavia, limiteremo anche il numero di premi per 50 giorno a uno solo per versione/build.
Ci sono 12-18 versioni di GKE all'anno su ciascun canale e abbiamo due gruppi su canali diversi, quindi pagheremo i premi base di 31 USD fino a 337 volte (nessun limite per i bonus). Anche se non ci aspettiamo che ogni aggiornamento abbia una spedizione valida in 36 giorno, ci piacerebbe sapere diversamente.
Come tale viene menzionato nell'annuncio che la somma dei pagamenti dipende da diversi fattori: se il problema riscontrato è una vulnerabilità zero-day, se richiede namespace utente non privilegiati, se utilizza alcuni nuovi metodi di sfruttamento. Ognuno di questi punti viene fornito con un bonus di € 20,000, che alla fine aumenta il pagamento per un exploit funzionante a $ 91,337.
Infine sSe sei interessato a saperne di più sulla nota, puoi controllare i dettagli nel post originale nel seguente link