Hvorfor de samme gamle cyberangrepene fortsatt er så vellykkede, og hva må gjøres for å stoppe dem. Se nå
Google har startet en spesiell tremåneders feilpremie rettet mot feil i Linux-kjernen med tredoblet belønning for sikkerhet forskere.
Den nye dusøren, kunngjort denne uken, ser ut til å herde Linux-kjernen i spesifikke edge-tilfeller. Den tilbyr opptil $31 337 (Leet) til sikkerhetsforskere som kan utnytte rettighetsopptrapping i Googles laboratoriemiljø med en lappet sårbarhet; og $50 337 for alle som kan finne en tidligere ukjent eller null-dagers feil, eller for å oppdage en ny utnyttelsesteknikk.
«Vi investerer stadig i sikkerheten til Linux-kjernen fordi mye av internett og Google – fra enhetene i lommene våre, til tjenestene som kjører på Kubernetes i skyen – er avhengig av sikkerheten til det,» sa Eduardo Vela fra Google Bug Hunters-teamet.
SE: Ransomware: Det er en “gylden æra” for nettkriminelle – og det kan bli verre før det blir bedre
Linux-kjernen – klekket ut som en hobby av Linus Torvalds i Helsinki for 30 år siden – driver nå de fleste av de beste nettstedene og internettinfrastrukturen, fra AWS til Microsoft Azure, Google, Facebook og Wikipedia.
Googles grunnbelønning for hver offentlig rettet sårbarhet er $31 337, begrenset til én utnyttelse per sårbarhet. Imidlertid kan belønningen gå opp til $50 337 hvis feilen ellers var uopprettet i Linux-kjernen (en null-dager); eller hvis utnyttelsen bruker et nytt angrep eller en ny teknikk etter Googles syn.
“Vi håper de nye belønningene vil oppmuntre sikkerhetsfellesskapet til å utforske nye kjerneutnyttelsesteknikker for å oppnå privilegieeskalering og kjøre raskere rettelser for disse sårbarhetene, ” sa Vela.
Han legger til at “de enkleste utnyttelsesprimitivene ikke er tilgjengelige i laboratoriemiljøet vårt på grunn av herdingen gjort på Container-Optimized OS.” Dette er et Chromium-basert OS for virtuelle Google Compute Engine-maskiner som er bygget for å kjøre på Docker-beholdere.
Men siden denne tre måneders dusøren utfyller Androids VRP-belønninger, kan utnyttelser som fungerer på Android også være kvalifisert for opptil $250 000 (det kommer i tillegg til dette programmet).
Google-miljøet har noen spesifikke krav som ble demonstrert av Googles sikkerhetsingeniør, Andy Nguyen, som fant den 15 år gamle BleedingTooth-feilen (CVE-2021-22555) i Linuxs Bluetooth-stabel.
SE: Skysikkerhet i 2021: En bedriftsguide til viktige verktøy og beste fremgangsmåter
Denne feilen var en haug ute -of-bounds skrivesårbarhet i Linux Netfilter som kan omgå alle moderne sikkerhetsreduksjoner, oppnå kjøring av kjernekode og kunne bryte Kubernetes pod-isolasjonen til kCTF (capture the flag)-klyngen som brukes til sikkerhetskonkurranser. Nguyen beskriver arbeidet sitt i en artikkel på GitHub.
Vela anbefaler at deltakerne også inkluderer en patch hvis de vil ha ekstra penger via Patch Reward-programmet.
Med tanke på utviklingen av åpen kildekode, bemerker Google at de ikke ønsker å motta detaljer om uopprettede sårbarheter før de har blitt offentliggjort og rettet. Forskere må oppgi utnyttelseskode og algoritmen som brukes til å beregne identifikatoren. Den vil imidlertid gjerne ha en grov beskrivelse av utnyttelsesstrategien.
Sikkerhet
Signal avslører hvor langt amerikansk rettshåndhevelse vil gå for å få folks informasjon Microsoft: MacOS-feil kunne ha latt angripere installere uoppdagelig skadelig programvare Google fikser to alvorlige nulldager feil i Chrome Politiet stikker sikte på mistenkte bak 1800 angrep som “skapte kaos over hele verden” Dette monsteret av en phishing-kampanje er ute etter passordene dine Cybersecurity 101: Beskytt personvernet ditt mot hackere, spioner, regjeringen Security TV | Databehandling | CXO | Datasentre