În ultimele luni Google a acordat o atenție deosebită problemelor de securitate găsite în nucleu Linux și KubernetesLa fel ca în noiembrie anul trecut, Google a crescut mărimea plăților, deoarece compania a triplat recompensele de exploatare pentru erorile necunoscute anterior din nucleul Linux.
Ideea a fost că oamenii ar putea descoperi noi modalități de a exploata nucleul, în special în ceea ce privește Kubernetes care rulează în cloud. Google raportează acum că programul de găsire a erorilor a fost un succes, primind nouă rapoarte în trei luni și plătind mai mult de 175,000 USD cercetătorilor.
Și asta printr-o postare pe blog Google a lansat din nou un anunț despre extinderea inițiativei pentru a plăti recompense în numerar pentru identificarea problemelor de securitate în nucleul Linux, platforma de orchestrare a containerelor Kubernetes, Google Kubernetes Engine (GKE) și mediul de concurență cu vulnerabilități Kubernetes Capture the Flag (kCTF).
Postarea menționează că acum programul de recompense include un bonus suplimentar 20,000 USD pentru vulnerabilități zero-day pentru exploit-uri care nu necesită suport pentru spațiul de nume de utilizator și pentru demonstrarea noilor tehnici de exploit.
Plata de bază pentru demonstrarea unui exploit funcțional la kCTF este de 31 USD (plata de bază este acordată participantului care demonstrează mai întâi un exploit funcțional, dar plățile bonus pot fi aplicate exploit-urilor ulterioare pentru aceeași vulnerabilitate).
Ne-am mărit recompensele pentru că am recunoscut că, pentru a atrage atenția comunității, trebuie să ne potrivim recompensele cu așteptările lor. Considerăm că extinderea a fost un succes, așa că ne-am dori să o prelungim în continuare cel puțin până la sfârșitul anului (2022).
În ultimele trei luni, am primit 9 trimiteri și am plătit peste 175 USD până acum.
În publicație putem vedea că total, ținând cont de bonusuri, recompensa maximă pentru o exploatare (probleme identificate pe baza analizei remedierii erorilor din baza de cod care nu sunt marcate în mod explicit ca vulnerabilități) poate ajunge până la 71 USD (anterior, cea mai mare recompensă era de 31 USD), iar pentru o problemă zero-day (probleme pentru care nu există încă o soluție) se plătesc până la 337 USD (anterior, cea mai mare recompensă era de 91,337 USD). Programul de plată va fi valabil până la 31 decembrie 2022.
Este de remarcat faptul că în ultimele trei luni, Google a procesat 9 solicitări ccu informații despre vulnerabilități, pentru care s-au plătit 175 de mii de dolari.
Cercetătorii participanți au pregătit cinci exploit-uri pentru vulnerabilități de zi zero și două pentru vulnerabilități de o zi. Trei probleme remediate în nucleul Linux au fost dezvăluite public (CVE-1-2021 în cgroup-v4154, CVE-1-2021 în af_packet și CVE-22600-2022 în VFS) (aceste probleme au fost deja identificate prin Syzkaller și pentru două remedieri de erori au fost adăugate la nucleu).
Aceste modificări cresc unele exploit-uri de 1 zi la 71 USD (față de 337 USD) și fac recompensa maximă pentru un singur exploit la 31 USD (față de 337 USD). Vom plăti, de asemenea, chiar și pentru duplicate, cel puțin 91 USD dacă demonstrează tehnici noi de exploatare (în loc de 337 USD). Cu toate acestea, vom limita și numărul de recompense pentru 50 zi la doar una pentru fiecare versiune/build.
Există 12-18 lansări GKE pe an pe fiecare canal și avem două grupuri pe canale diferite, așa că vom plăti recompensele de bază de 31 USD de până la 337 de ori (fără limită pentru bonusuri). Deși nu ne așteptăm ca fiecare actualizare să aibă o livrare valabilă de o zi, ne-ar plăcea să aflăm altfel.
Ca atare se menționează în anunț că suma plăților depinde de mai mulți factori: dacă problema găsită este o vulnerabilitate zero-day, dacă necesită spații de nume utilizatori neprivilegiate, dacă folosește niște metode noi de exploatare. Fiecare dintre aceste puncte vine cu un bonus de $ 20,000, care în cele din urmă ridică plata pentru un exploit de lucru la $ 91,337.
În cele din urmă sDacă sunteți interesat să aflați mai multe despre asta despre notă, puteți verifica detaliile în postarea inițială În următorul link.