El jefe del equipo de «Respuesta de seguridad del producto» de Google dijo que Google usa Linux «en casi todo», incluidos Chromebooks, teléfonos inteligentes Android e incluso Google Cloud.
«Debido a esto, hemos invertido mucho en la seguridad de Linux, y hoy estamos Anunciar cómo podemos aprovechar estas inversiones y aumentar nuestros rendimientos. »
En 2020, nosotros desenrollar Un proyecto Capture-the-Flag (CTF) basado en Kubernetes de código abierto llamado, kCTF.kCTF Programa de recompensas por errores Conectar a los investigadores con nuestro Motor Kubernetes de Google (GKE) Por ejemplo, si pueden piratearlo, obtienen una ficha y posiblemente una recompensa.
Todo GKE y sus dependencias están dentro del alcance, pero cada señal detectada hasta ahora es una violación del contenedor a través de una vulnerabilidad del kernel de Linux.
Entendemos que puede volverse más difícil descubrir y explotar vulnerabilidades de corrupción de memoria en montón en el kernel de Linux. Desafortunadamente, las mitigaciones de seguridad a menudo son difíciles de cuantificar, sin embargo, creemos que hemos encontrado una manera de concretar esto…
Primero, ampliamos indefinidamente la cantidad de recompensas que aumentamos Anunciar A principios de este año, eso significaba que seguiríamos pagando de $20 000 a $91 337 por vulnerabilidades en las implementaciones de kCTF de nuestro laboratorio para recompensar el importante trabajo realizado para comprender y mejorar la seguridad del kernel.Esto se suma a nuestro existente Recompensas de parche Para mejoras de seguridad proactivas.
En segundo lugar, estamos implementando nueva instancia Recompensas adicionales por evaluar las últimas imágenes estables del kernel de Linux, así como nuevas mitigaciones experimentales en los kernels personalizados que construimos. La nueva instancia se utilizará para pedirle a la comunidad que nos ayude a evaluar el valor de las mitigaciones de seguridad más recientes y experimentales, en lugar de simplemente comprender el estado actual del kernel estable. Hoy comenzamos con un conjunto de mitigaciones que creemos que harán que la mayoría de las vulnerabilidades que recibimos durante el año pasado (9/10 vulnerabilidades y 10/13 exploits) sean más difíciles de explotar. Pagaremos $ 21,000 adicionales por enviar nuevos exploits que también rompan el último kernel de Linux. Para aquellos que rompan nuestro kernel personalizado de Linux con nuestras mitigaciones experimentales, la recompensa será de otros $21,000 (si aparentemente pasan por alto las mitigaciones que estamos probando). Esto lleva la recompensa total a $133,337.
Esperamos que esto nos dé un poco más de información sobre lo difícil (o fácil) que es eludir nuestras mitigaciones experimentales…
Con el programa kCTF VRP, estamos construyendo una canalización para analizar, experimentar, medir y crear mitigaciones de seguridad para hacer que el kernel de Linux sea lo más seguro posible con la ayuda de la comunidad de seguridad. Esperamos que, con el tiempo, podamos realizar mitigaciones de seguridad que dificulten al máximo la explotación de las vulnerabilidades del kernel de Linux.
«No nos importan los bichos, nos importan los bichos», Vela dicho Registrarse«Queremos que los agujeros estén ahí y que sean parchados, lo cual está bien. Pero la idea es hacer algo más que parchar algunos agujeros».
Google pagó un total de $ 8,7 millones Cerca de 700 investigadores fueron premiados a través de varios VPR el año pasado. «Somos solo un jugador en toda la comunidad que tiene los recursos financieros, los recursos financieros, pero necesitamos que la comunidad nos ayude a mejorar el Kernel», dijo Vela.
«Si la comunidad se involucra y nos ayuda a validar las mitigaciones que tenemos, entonces nos basaremos en eso. Pero la idea general es que necesitamos entender qué quiere la comunidad que hagamos en esto…»
[I]Según Vela, no siempre se trata de pagos en efectivo y los diferentes cazadores de errores tienen diferentes motivaciones. Algunas personas quieren dinero, otras quieren fama y otras solo quieren resolver un problema interesante, dijo Vela. «Estamos tratando de encontrar la combinación adecuada para atraer a la gente».
