A través de kCTF, los investigadores podrían usar instancias de Google Kubernetes Engine (GKE) . Si podían piratearlo con éxito, obtenían una bandera y, potencialmente, algo de dinero. Pero, allá por 1995, la Fundación Mozilla fue la primera organización en ofrecer recompensas por errores . Ahora, todo el mundo es quien cualquiera les ofrece. Google, que usa Linux en casi todo, está expandiendo su proyecto Capture-the-Flag (kCTF) basado en Kubernetes y el Programa de recompensas por vulnerabilidad (VRP) de kCTF para prestar más atención a la búsqueda de errores del kernel de Linux.
Comunidad de hackers del kernel de Linux
En particular, los errores descubiertos tendían a ser vulnerabilidades de corrupción de memoria en montón. El plan de Google había sido construir una comunidad de piratas informáticos del kernel de Linux. ¡Misión cumplida!
En el futuro, Google extenderá el kCTF VRP con mayores recompensas hasta el 31 de diciembre de 2022 . Estos premios ahora pagan de $ 20,000 a $ 91,337 por vulnerabilidades en la implementación de kCTF en el laboratorio de Google. Esto se suma a las recompensas existentes del parche Bug Hunter de Google .
Mitigaciones
Para ayudar a eliminar los errores de seguridad del kernel de Linux, Google también está lanzando nuevas instancias con recompensas adicionales. En estos casos, los piratas informáticos de investigación verificarán la última imagen estable del kernel de Linux, así como nuevas mitigaciones experimentales en un kernel de Google personalizado. En otras palabras, en lugar de simplemente investigar los núcleos estables de Linux, los piratas informáticos también revisarán las mitigaciones de seguridad de Linux más recientes y experimentales de Google.
Específicamente, Google está revisando las mitigaciones que deberían, deberían, dificultar la explotación de las vulnerabilidades descubiertas recientemente. Si tiene éxito en superar estas nuevas correcciones del kernel de Linux, Google le pagará $ 21,000 adicionales.
Estas mitigaciones de refuerzo del kernel de Linux están diseñadas para bloquear ataques en las siguientes primitivas de explotación:
- Escritura fuera de los límites en el mecanismo de administración de memoria de losa
- Ataques de caché cruzada
- Objetos elásticos
- Corrupción de lista libre
Conseguir el dinero
Para los ataques que comprometan el núcleo Linux personalizado de Google con sus mitigaciones experimentales, la recompensa será de otros $21,000. Para esto, debe omitir claramente las mitigaciones de prueba. En total, puede ganar hasta $ 133,337.
El objetivo inmediato es crear una canalización para analizar, experimentar, medir y crear mitigaciones de seguridad del kernel de Linux. Eventualmente, la esperanza es hacer que la explotación de las vulnerabilidades del kernel de Linux sea lo más difícil posible.
¿Este programa es para mí? Por esta cantidad de dinero, es hora de sacar a la luz mis herramientas de análisis estático de Linux y ver si puedo encontrar alguna pista para obtener algunos de esos dulces, dulces dólares de recompensa por errores.
Más información: https://google.github.io/kctf/
Búsqueda de errores Google: https://security.googleblog.com/2022/08/making-linux-kernel-exploit-cooking.html
Programa de recompensas: https://www.google.com/about/appsecurity/reward-program/index.html
Fuente: somoslibres
