במהלך החודשים האחרונים גוגל הקדישה תשומת לב מיוחדת לבעיות אבטחה נמצא בקרנל לינוקס ו-Kubernetesכמו בנובמבר בשנה שעברה, גוגל הגדילה את גודל התשלומים כאשר החברה שילשה את תרומות הניצול עבור באגים שלא היו ידועים בעבר בליבת הלינוקס.
הרעיון היה שאנשים יכולים לגלות דרכים חדשות לנצל את הליבה, במיוחד ביחס ל-Kubernetes שפועל בענן. גוגל מדווחת כעת כי התוכנית לאיתור באגים הייתה הצלחה, קיבלה תשעה דיווחים בשלושה חודשים וחילקה יותר מ-$175,000 לחוקרים.
וזה דרך פוסט בבלוג גוגל שוב פרסמה הודעה על הרחבת היוזמה לשלם תגמולים כספיים עבור זיהוי בעיות אבטחה בליבת לינוקס, פלטפורמת תזמור קונטיינר של Kubernetes, Google Kubernetes Engine (GKE), וסביבת תחרות פגיעות של Kubernetes Capture the Flag (kCTF).
הפוסט מזכיר זאת כעת תוכנית התגמולים כוללת בונוס נוסף 20,000 דולר עבור פגיעויות של יום אפס עבור ניצול שאינו דורש תמיכה במרחב שמות המשתמש ולהדגמת טכניקות ניצול חדשות.
התשלום הבסיסי עבור הדגמת ניצול עובד ב-kCTF הוא 31 $ (תשלום הבסיס מוענק למשתתף שמפגין לראשונה ניצול עובד, אך ניתן להחיל תשלומי בונוס על ניצול עוקב עבור אותה פגיעות).
הגדלנו את התגמולים שלנו כי זיהינו שכדי למשוך את תשומת הלב של הקהילה אנחנו צריכים להתאים את התגמולים שלנו לציפיות שלהם. אנו רואים שההרחבה הייתה מוצלחת ולכן ברצוננו להאריך אותה לפחות עד סוף השנה (2022).
במהלך שלושת החודשים האחרונים, קיבלנו 9 הגשות ושילמנו למעלה מ-$175 עד כה.
בפרסום אנחנו יכולים לראות את זה סך הכל, תוך התחשבות בבונוסים, הפרס המקסימלי על ניצול (בעיות שזוהו על סמך ניתוח של תיקוני באגים בבסיס הקוד שאינם מסומנים באופן מפורש כנקודות תורפה) יכול להגיע עד $71 (בעבר התגמול הגבוה ביותר היה $31), ועל בעיה של יום אפס (בעיות שעדיין אין להן פתרון) משולם עד $337 (בעבר התגמול הגבוה ביותר היה $91,337). תוכנית התשלומים תהיה בתוקף עד ה-31 בדצמבר 2022.
ראוי לציין שבשלושת החודשים האחרונים, גוגל עיבדה 9 בקשות געם מידע על נקודות תורפה, עבורן שולמו 175 אלף דולר.
החוקרים המשתתפים הכינו חמישה ניצולים עבור פגיעויות של יום אפס ושניים עבור פרצות של יום אחד. שלוש בעיות מתוקנות בליבת לינוקס נחשפו בפומבי (CVE-1-2021 ב-cgroup-v4154, CVE-1-2021 ב-af_packet ו-CVE-22600-2022 ב-VFS) (בעיות אלו כבר זוהו באמצעות Syzkaller ועבור שניים תיקוני באגים נוספו לקרנל).
שינויים אלה מגדילים כמה ניצול של יום אחד ל-$1 (לעומת 71$) ומגבירים את התגמול המקסימלי עבור ניצול בודד ל-$337 (לעומת 31$). אנחנו גם נשלם אפילו עבור כפילויות של 337$ לפחות אם הם מדגימים טכניקות ניצול חדשות (במקום 91$). עם זאת, אנו גם נגביל את מספר התגמולים ליום אחד לאחד בלבד לכל גרסה/בנייה.
יש 12-18 מהדורות GKE בשנה בכל ערוץ, ויש לנו שתי קבוצות בערוצים שונים, אז נשלם את התגמולים הבסיסיים של 31 דולר עד פי 337 (ללא הגבלה לבונוסים). אמנם אנחנו לא מצפים שלכל עדכון יהיה משלוח תקף ליום אחד, אבל נשמח לשמוע אחרת.
ככזה מוזכר בהודעה שסכום התשלומים תלוי במספר גורמים: אם הבעיה שנמצאה היא פגיעות של יום אפס, אם היא דורשת מרחבי שמות משתמשים שאינם מורשים, אם היא משתמשת בשיטות ניצול חדשות. כל אחת מהנקודות הללו מגיעה עם בונוס של $ 20,000, מה שבסופו של דבר מעלה את התשלום עבור ניצול עובד ל 91,337 $.
סוף סוף שאם אתה מעוניין לדעת יותר על זה לגבי ההערה, אתה יכול לבדוק את הפרטים בפוסט המקורי בקישור הבא.