Google har startat en speciell tremånaders buggpremie som riktar sig mot brister i Linuxkärnan med tredubbla belöningar för säkerhet forskare.
Den nya belöningen, som tillkännagavs denna vecka, ser ut att härda Linux-kärnan i specifika edge-fall. Det erbjuder upp till $31 337 (Leet) till säkerhetsforskare som kan utnyttja privilegieupptrappning i Googles labbmiljö med en korrigerad sårbarhet; och $50 337 för alla som kan hitta en tidigare okänd eller nolldagarsbrist, eller för att upptäcka en ny exploateringsteknik.
“Vi investerar ständigt i säkerheten för Linux-kärnan eftersom mycket av internet och Google – från enheterna i våra fickor till tjänsterna som körs på Kubernetes i molnet – är beroende av säkerheten i det”, säger Eduardo Vela från Google Bug Hunters Team.
SE: Ransomware: Det är en “gyllene era” för cyberbrottslingar – och det kan bli värre innan det blir bättre
Linuxkärnan – skapad som en hobby av Linus Torvalds i Helsingfors för 30 år sedan – driver nu de flesta av de bästa webbplatserna och internetinfrastrukturen, från AWS till Microsoft Azure, Google, Facebook och Wikipedia.
Googles basbelöningar för varje offentligt korrigerad sårbarhet är 31 337 USD, begränsat till en exploatering per sårbarhet. Emellertid kan belöningen gå upp till 50 337 $ om felet annars var opatchat i Linux-kärnan (en nolldag); eller om utnyttjandet använder en ny attack eller teknik enligt Google.
“Vi hoppas att de nya belöningarna kommer att uppmuntra säkerhetsgemenskapen att utforska nya tekniker för kärnexploatering för att uppnå privilegieskalering och snabbare fixa dessa sårbarheter, ” sa Vela.
Han tillägger att “de enklaste exploateringsprimitiven inte är tillgängliga i vår labbmiljö på grund av härdningen som görs på Container-Optimized OS.” Detta är ett Chromium-baserat operativsystem för virtuella maskiner från Google Compute Engine som är byggt för att köras på Docker-behållare.
Men eftersom den här tremånaderspremien kompletterar Androids VRP-belöningar, kan utnyttjande som fungerar på Android också vara berättigade till upp till $250 000 (det är utöver detta program).
Google-miljön har några specifika krav som demonstrerades av Googles säkerhetsingenjör, Andy Nguyen, som hittade den 15-åriga BleedingTooth-buggen (CVE-2021-22555) i Linuxs Bluetooth-stack.
SE: Molnsäkerhet 2021: En företagsguide till viktiga verktyg och bästa praxis
Det här felet var en hög ut -of-bounds skrivsårbarhet i Linux Netfilter som kan kringgå alla moderna säkerhetsbegränsningar, uppnå kärnkodexekvering och kan bryta Kubernetes pod-isolering av kCTF (capture the flag)-klustret som används för säkerhetstävlingar. Nguyen beskriver sitt arbete i en skrivning på GitHub.
Vela rekommenderar att deltagarna också inkluderar en patch om de vill ha extra pengar via sitt Patch Reward-program.
Med tanke på karaktären av mjukvaruutveckling med öppen källkod, noterar Google att de inte vill ta emot detaljer om oparpade sårbarheter innan de har avslöjats och korrigerats. Forskare måste tillhandahålla exploateringskod och algoritmen som används för att beräkna identifieraren. Den skulle dock vilja få en grov beskrivning av exploateringsstrategin.
Säkerhet
Signal avslöjar hur långt amerikansk brottsbekämpning kommer att gå för att få folks information Microsoft: MacOS-fel kunde ha låtit angripare installera oupptäckbar skadlig programvara Google fixar två höggradiga nolldagar brister i Chrome Polisen riktar sig mot misstänkta bakom 1 800 attacker som “vållade förödelse över hela världen” Detta monster av en nätfiskekampanj är ute efter dina lösenord Cybersäkerhet 101: Skydda din integritet från hackare, spioner, regeringen Säkerhets-TV | Datahantering | CXO | Datacenter