Durante os últimos meses O Google prestou atenção especial aos problemas de segurança encontrado no núcleo Linux e KubernetesComo em novembro do ano passado, o Google aumentou o tamanho dos pagamentos à medida que a empresa triplicou as recompensas de exploração para bugs anteriormente desconhecidos no kernel do Linux.
A ideia era que as pessoas pudessem descobrir novas maneiras de explorar o kernel, particularmente em relação ao Kubernetes executado na nuvem. O Google agora informa que o programa de busca de bugs foi um sucesso, recebendo nove relatórios em três meses e desembolsando mais de US$ 175,000 para pesquisadores.
E é que através de um post no blog Google voltou a divulgar anúncio sobre a expansão da iniciativa para pagar recompensas em dinheiro para identificar problemas de segurança no kernel Linux, plataforma de orquestração de contêiner Kubernetes, Google Kubernetes Engine (GKE) e ambiente de competição de vulnerabilidade Kubernetes Capture the Flag (kCTF).
A postagem menciona que agora o programa de recompensas inclui um bônus adicional US$ 20,000 para vulnerabilidades de dia zero para explorações que não exigem suporte a namespace de usuário e para demonstrar novas técnicas de exploração.
O pagamento base para demonstrar uma exploração funcional no kCTF é de $ 31 (o pagamento base é concedido ao participante que primeiro demonstrar uma exploração funcional, mas os pagamentos de bônus podem ser aplicados a explorações subsequentes para a mesma vulnerabilidade).
Aumentamos nossas recompensas porque reconhecemos que, para atrair a atenção da comunidade, precisávamos combinar nossas recompensas com suas expectativas. Consideramos a expansão um sucesso e, por isso, gostaríamos de estendê-la ainda mais pelo menos até o final do ano (2022).
Nos últimos três meses, recebemos 9 inscrições e pagamos mais de US$ 175 até agora.
Na publicação podemos ver que no total, tendo em conta os bónus, a recompensa máxima por um exploit (problemas identificados com base na análise de correções de bugs na base de código que não estão explicitamente marcados como vulnerabilidades) pode chegar a US$ 71 (anteriormente, a recompensa mais alta era de US$ 31), e para um problema de dia zero (problemas para os quais ainda não há solução) até US$ 337 são pagos (anteriormente, a recompensa mais alta era de US$ 91,337). O programa de pagamento será válido até 31 de dezembro de 2022.
Vale ressaltar que nos últimos três meses, O Google processou 9 solicitações ccom informações sobre vulnerabilidades, pelas quais foram pagos 175 mil dólares.
Os pesquisadores participantes prepararam cinco explorações para vulnerabilidades de dia zero e duas para vulnerabilidades de 1 dia. Três problemas corrigidos no kernel Linux foram divulgados publicamente (CVE-2021-4154 em cgroup-v1, CVE-2021-22600 em af_packet e CVE-2022-0185 em VFS) (esses problemas já foram identificados via Syzkaller e para kernel correções foram adicionadas para dois problemas).
Essas mudanças aumentam algumas explorações de 1 dia para US$ 71 (vs. US$ 337) e tornam a recompensa máxima para uma única exploração de US$ 31 (vs. US$ 337). Também pagaremos pelo menos US$ 91, mesmo por duplicatas, se elas demonstrarem novas técnicas de exploração (em vez de US$ 337). No entanto, também limitaremos o número de recompensas por 50 dia a apenas uma por versão/compilação.
Há de 12 a 18 lançamentos do GKE por ano em cada canal, e temos dois grupos em canais diferentes, então pagaremos as recompensas básicas de US$ 31 em até 337 vezes (sem limite de bônus). Embora não esperemos que todas as atualizações tenham envio válido de 36 dia, adoraríamos saber o contrário.
Como tal, é mencionado no anúncio que a soma dos pagamentos depende de vários fatores: se o problema encontrado é uma vulnerabilidade de dia zero, se requer namespaces não privilegiados, se usa alguns novos métodos de exploração. Cada um desses pontos vem com um bônus de $ 20,000, que em última análise aumenta o pagamento por uma exploração de trabalho para $ 91,337.
finalmente simSe você estiver interessado em saber mais sobre isso sobre a nota, você pode conferir os detalhes no post original no link a seguir.