Gjatë muajve të fundit Google i ka kushtuar vëmendje të veçantë çështjeve të sigurisë gjendet në kernel Linux dhe KubernetesAshtu si në nëntor të vitit të kaluar, Google rriti madhësinë e pagesave pasi kompania trefishoi përfitimet e shfrytëzimit për gabimet e panjohura më parë në kernelin Linux.
Ideja ishte që njerëzit mund të zbulonin mënyra të reja për të shfrytëzuar kernelin, veçanërisht në lidhje me Kubernetes që vrapojnë në re. Google tani raporton se programi i gjetjes së gabimeve ka qenë një sukses, duke marrë nëntë raporte në tre muaj dhe duke shpërndarë më shumë se 175,000 dollarë për studiuesit.
Dhe kjo është përmes një postimi në blog Google lëshoi përsëri një njoftim për zgjerimin e nismës për të paguar shpërblime në para për identifikimin e çështjeve të sigurisë në kernelin Linux, platformën e orkestrimit të kontejnerëve Kubernetes, Google Kubernetes Engine (GKE) dhe Kubernetes Capture the Flag (kCTF) në mjedisin e konkurrencës për cenueshmërinë.
Postimi e përmend atë tani programi i shpërblimeve përfshin një bonus shtesë 20,000 dollarë për dobësitë e ditës zero për shfrytëzimet që nuk kërkojnë mbështetje për hapësirën e emrave të përdoruesit dhe për demonstrimin e teknikave të reja të shfrytëzimit.
Pagesa bazë për demonstrimin e një shfrytëzimi pune në kCTF është 31 dollarë (pagesa bazë i jepet pjesëmarrësit që së pari demonstron një shfrytëzim pune, por pagesat e bonusit mund të aplikohen për shfrytëzimet e mëvonshme për të njëjtën dobësi).
Ne i rritëm shpërblimet, sepse e kuptuam se për të tërhequr vëmendjen e komunitetit, ne duhej t'i përputhim shpërblimet tona me pritshmëritë e tyre. Ne e konsiderojmë zgjerimin si një sukses, dhe kështu dëshirojmë ta zgjasim më tej të paktën deri në fund të vitit (2022).
Gjatë tre muajve të fundit, ne kemi marrë 9 paraqitje dhe kemi paguar mbi 175 dollarë deri më tani.
Në botim mund ta shohim këtë total, duke marrë parasysh bonuset, shpërblimi maksimal për një shfrytëzim (çështjet e identifikuara bazuar në analizën e rregullimeve të gabimeve në bazën e kodit që nuk janë shënuar në mënyrë eksplicite si dobësi) mund të arrijë deri në 71 dollarë (më parë shpërblimi më i lartë ishte 31 dollarë), dhe për një problem të ditës zero (probleme për të cilat ende nuk ka zgjidhje) paguhet deri në 337 dollarë (më parë shpërblimi më i lartë ishte 91,337 dollarë). Programi i pagesave do të jetë i vlefshëm deri më 31 dhjetor 2022.
Vlen të përmendet se në tre muajt e fundit, Google ka përpunuar 9 kërkesa cme informacion për dobësitë, për të cilat janë paguar 175 mijë dollarë.
Studiuesit pjesëmarrës përgatitën pesë shfrytëzime për dobësitë e ditës zero dhe dy për dobësitë 1-ditore. Tre çështje fikse në kernel Linux janë zbuluar publikisht (CVE-2021-4154 në cgroup-v1, CVE-2021-22600 në af_packet dhe CVE-2022-0185 në VFS) (këto probleme tashmë janë identifikuar nëpërmjet Syzkaller dhe për dy Rregullimet e gabimeve u shtuan në kernel).
Këto ndryshime rrisin disa shfrytëzime 1-ditore në 71 dollarë (kundrejt 337 dollarëve) dhe e bëjnë shpërblimin maksimal për një shfrytëzim të vetëm 31 dollarë (kundrejt 337 dollarëve). Ne gjithashtu do të paguajmë edhe për dublikatat të paktën 91 dollarë nëse ato demonstrojnë teknika të reja shfrytëzimi (në vend të 337 dollarëve). Megjithatë, ne do të kufizojmë gjithashtu numrin e shpërblimeve për 50 ditë në vetëm një për version/ndërtim.
Ka 12-18 publikime GKE në vit në çdo kanal dhe ne kemi dy grupe në kanale të ndryshme, kështu që do të paguajmë shpërblimet bazë prej 31 USD deri në 337 herë (pa kufi për bonuse). Ndërsa ne nuk presim që çdo përditësim të ketë transport të vlefshëm 36-ditor, do të donim të dëgjonim ndryshe.
Si i tillë përmendet në njoftim se shuma e pagesave varet nga disa faktorë: nëse problemi i gjetur është një cenueshmëri e ditës zero, nëse kërkon hapësira jo të privilegjuara të përdoruesve, nëse përdor disa metoda të reja shfrytëzimi. Secila prej këtyre pikave vjen me një bonus prej $ 20,000, e cila në fund të fundit rrit pagesën për një shfrytëzim pune të $ 91,337.
Më në fund sNëse jeni të interesuar të dini më shumë për të në lidhje me shënimin, mund t'i kontrolloni detajet në postimin origjinal Në lidhjen vijuese.