W ciągu ostatnich miesięcy Google zwrócił szczególną uwagę na kwestie bezpieczeństwa znalezione w jądrze Linux i KubernetesPodobnie jak w listopadzie ubiegłego roku, Google zwiększyło wysokość wypłat, ponieważ firma potroiła premie za exploity za nieznane wcześniej błędy w jądrze Linuksa.
Pomysł polegał na tym, że ludzie mogliby odkryć nowe sposoby wykorzystania jądra, szczególnie w odniesieniu do Kubernetes działającego w chmurze. Google informuje teraz, że program wyszukiwania błędów odniósł sukces, otrzymując dziewięć raportów w ciągu trzech miesięcy i wypłacając naukowcom ponad 175,000 XNUMX USD.
I to poprzez post na blogu Google ponownie ogłosiło rozszerzenie inicjatywy aby zapłacić nagrody pieniężne za zidentyfikowanie problemów z bezpieczeństwem w jądrze Linuksa, platformie do orkiestracji kontenerów Kubernetes, Google Kubernetes Engine (GKE) i środowisku konkursu podatności Kubernetes Capture the Flag (kCTF).
Post wspomina, że teraz program nagród zawiera dodatkowy bonus 20,000 XNUMX USD za luki dnia zerowego dla exploitów, które nie wymagają obsługi przestrzeni nazw użytkownika oraz za zademonstrowanie nowych technik exploitów.
Podstawowa wypłata za zademonstrowanie działającego exploita na kCTF wynosi 31 337 USD (wypłata podstawowa jest przyznawana uczestnikowi, który jako pierwszy zademonstruje działający exploit, ale wypłaty bonusowe można zastosować do kolejnych exploitów za tę samą lukę).
Zwiększyliśmy nasze nagrody, ponieważ zdaliśmy sobie sprawę, że aby przyciągnąć uwagę społeczności, musimy dopasować nasze nagrody do ich oczekiwań. Ekspansję uważamy za sukces, dlatego chcielibyśmy ją przedłużyć przynajmniej do końca roku (2022).
W ciągu ostatnich trzech miesięcy otrzymaliśmy 9 zgłoszeń i do tej pory zapłaciliśmy ponad 175 000 USD.
W publikacji widzimy, że całkowity, z uwzględnieniem bonusów, maksymalna nagroda za exploit (problemy zidentyfikowane na podstawie analizy poprawek błędów w bazie kodu, które nie zostały wyraźnie oznaczone jako podatności) może osiągnąć nawet 71 337 $ (wcześniej najwyższa nagroda wynosiła 31 337 $), a za problem dnia zerowego (problemy, dla których nie ma jeszcze rozwiązania) wypłacana jest do 91,337 50,337 $ (poprzednio najwyższa nagroda wynosiła XNUMX XNUMX $). Program płatności będzie obowiązywał do 31 grudnia 2022 roku.
Warto zauważyć, że w ciągu ostatnich trzech miesięcy Google przetworzyło 9 żądań cz informacjami o podatnościach, za które zapłacono 175 tys. dolarów.
Uczestniczący badacze przygotowali pięć exploitów dla luk zero-day i dwa dla luk jednodniowych. Ujawniono publicznie trzy naprawione błędy w jądrze Linuksa (CVE-1-2021 w cgroup-v4154, CVE-1-2021 w af_packet i CVE-22600-2022 w VFS) (problemy te zostały już zidentyfikowane przez Syzkaller i dla dwóch poprawki błędów zostały dodane do jądra).
Zmiany te zwiększają niektóre 1-dniowe exploity do 71 337 USD (w porównaniu do 31 337 USD) i zapewniają maksymalną nagrodę za pojedynczy exploit 91 337 USD (w porównaniu z 50 337 USD). Zapłacimy również za duplikaty co najmniej 20 000 USD, jeśli zademonstrują nowe techniki exploitów (zamiast 0 USD). Jednak ograniczymy również liczbę nagród na 1 dzień do tylko jednej na wersję/kompilację.
Na każdym kanale jest 12-18 wydań GKE rocznie i mamy dwie grupy na różnych kanałach, więc podstawowe nagrody wypłacimy 31 337 USD do 36 razy (bez limitu premii). Chociaż nie oczekujemy, że każda aktualizacja będzie mieć ważną 1-dniową wysyłkę, chcielibyśmy usłyszeć coś innego.
W związku z tym w ogłoszeniu wspomniano, że suma płatności zależy od kilku czynników: czy znaleziony problem jest luką dnia zerowego, czy wymaga nieuprzywilejowanych przestrzeni nazw użytkowników, czy wykorzystuje nowe metody eksploatacji. Każdy z tych punktów ma premię w wysokości $ 20,000, co ostatecznie podnosi opłatę za działający exploit do $ 91,337.
Wreszcie sJeśli chcesz dowiedzieć się więcej na ten temat o notatce możesz sprawdzić szczegóły w oryginalnym poście W poniższym linku.