Google har skudt i gang en særlig tre-måneders bug-bounty målrettet mod fejl i Linux-kernen med tredobbelt belønning for sikkerhed forskere.
Den nye dusør, der blev annonceret i denne uge, ser ud til at hærde Linux-kernen i specifikke edge-tilfælde. Det tilbyder op til $31.337 (Leet) til sikkerhedsforskere, der kan udnytte privilegieeskalering i Googles laboratoriemiljø med en lappet sårbarhed; og $50.337 for alle, der kan finde en tidligere uoplyst eller nul-dages fejl, eller for at opdage en ny udnyttelsesteknik.
“Vi investerer konstant i sikkerheden i Linux-kernen, fordi meget af internettet og Google – fra enheder i vores lommer til de tjenester, der kører på Kubernetes i skyen – afhænger af sikkerheden i det,” sagde Eduardo Vela fra Google Bug Hunters Team.
SE: Ransomware: Det er en 'gylden æra' for cyberkriminelle – og det kan blive værre, før det bliver bedre
Linux-kernen – udklækket som en hobby af Linus Torvalds i Helsinki for 30 år siden – driver nu de fleste af de bedste websteder og internetinfrastruktur, fra AWS til Microsoft Azure, Google, Facebook og Wikipedia.
Googles basisbelønninger for hver offentligt rettet sårbarhed er $31.337, begrænset til én udnyttelse pr. sårbarhed. Belønningen kan dog gå op til 50.337 $, hvis fejlen ellers ikke var rettet i Linux-kernen (en nul-dag); eller hvis udnyttelsen bruger et nyt angreb eller en ny teknik efter Googles opfattelse.
“Vi håber, at de nye belønninger vil tilskynde sikkerhedsfællesskabet til at udforske nye teknikker til udnyttelse af kernen for at opnå privilegieeskalering og få hurtigere rettelser til disse sårbarheder, ” sagde Vela.
Han tilføjer, at “de nemmeste udnyttelsesprimitiver ikke er tilgængelige i vores laboratoriemiljø på grund af hærdningen udført på Container-Optimized OS.” Dette er et Chromium-baseret OS til virtuelle Google Compute Engine-maskiner, der er bygget til at køre på Docker-containere.
Men da denne tre måneders dusør komplementerer Androids VRP-belønninger, kan udnyttelser, der fungerer på Android, også være berettiget til op til $250.000 (det kommer i tillæg til dette program).
Google-miljøet har nogle specifikke krav, som blev demonstreret af Googles sikkerhedsingeniør, Andy Nguyen, som fandt den 15 år gamle BleedingTooth-fejl (CVE-2021-22555) i Linuxs Bluetooth-stak.
SE: Skysikkerhed i 2021: En virksomhedsguide til vigtige værktøjer og bedste praksis
Den fejl var en bunke ude -of-bounds skrivesårbarhed i Linux Netfilter, der kunne omgå alle moderne sikkerhedsbegrænsninger, opnå kernekodeudførelse og kunne bryde Kubernetes pod-isolationen af kCTF (capture the flag)-klyngen, der bruges til sikkerhedskonkurrencer. Nguyen beskriver sit arbejde i en skrivning på GitHub.
Vela anbefaler, at deltagere også inkluderer en patch, hvis de ønsker ekstra penge via deres Patch Reward-program.
I betragtning af karakteren af open source softwareudvikling bemærker Google, at det ikke ønsker at modtage detaljer om uoprettede sårbarheder, før de er blevet offentliggjort og rettet. Forskere skal levere udnyttelseskode og den algoritme, der bruges til at beregne identifikatoren. Den vil dog gerne modtage en grov beskrivelse af udnyttelsesstrategien.
Sikkerhed
Signal afslører, hvor langt amerikansk retshåndhævelse vil gå for at få folks oplysninger Microsoft: MacOS-fejl kunne have ladet angribere installere uopdagelig malware fejl i Chrome Politiet er rettet mod mistænkte bag 1.800 angreb, der 'anbragte kaos i hele verden' Dette monster af en phishing-kampagne er ude efter dine adgangskoder Cybersikkerhed 101: Beskyt dit privatliv mod hackere, spioner, regeringen Sikkerheds-tv | Datastyring | CXO | Datacentre