Google otwiera nowy program Bug Bounty – do zgarnięcia $250K
03.07.2024
Aby zachęcić ludzi do znajdowania nowych luk w zabezpieczeniach otwaroźródłowego hypervisora KVM, Google uruchomiło nowy program Vulnerability Reward Program, w którym główna nagroda wynosi ćwierć miliona dolarów. VRP zorganizowane jest na zasadach konkursu capture-the-flag, w którym tester loguje się jako gość i próbuje znaleźć lukę typu 0-day w jądrze hosta KVM.
KVM to projekt open-source, który pozwala na uruchamianie maszyn wirtulanych wraz z emulacją sprzętu, która może być dostosawana do obsługi starszych systemów operacyjnych. Google aktywnie korzysta z KVM w swoich produktach takich jak Android i Google Cloud. Tak więc jakby nie było trochę im na bezpieczństwie tej platformy zależy.
Zapowiedziany w październiku zeszłego roku konkurs kvmCTF oficjalnie wystartował 27 czerwca. Uczestnicy muszą wcześniej zarezerwować slot czasowy na dostęp do maszyny wirtualnej uruchomionej na fizycznym hoście, aby następnie z jej poziomu przeprowadzić atak.
Nie wszystkie znalezione luki biorą udział w konkursie. Google opublikowało informacje na jakich błędach im najbardziej zależy, oraz pełną instrukcję zgłaszania znalezionych podatności.
Jakie nagrody czekają?
Google opublikowało również listę szukanych podatności wraz z wysokością nagrody, którą oferują na znalezienie błędu danej klasy
- Pełna ucieczka z maszyny wirtualnej: $250 000
- Arbitrary memory write: $100 000
- Arbitrary memory read: $50 000
- Relative memory write: $50 000
- DoS: $20 000
- Relative memory read: $10 000
Źródła i przydatne linki
- https://security.googleblog.com/2024/06/virtual-escape-real-reward-introducing.html
- https://github.com/google/security-research/blob/master/kvmctf/rules.md
Krzysztof Kopeć
Krzysztof Kopeć jest absolwentem wydziału Elektroniki Politechniki Wrocławskiej. Od lat pilnuje porządku wśród zer i jedynek poruszających się w miedzi i w powietrzu. W swojej karierze skupia się aktualnie na bezpieczeństwie i kontroli dostępu do sieci oraz jej monitorowaniu. Jako Inżynier Systemowy w firmie Advatech najbardziej lubi podejście kompleksowe do swoich projektów. Wspiera klientów przez całość projektu poczynając od analizy potrzeb, poprzez projekt i wdrożenie, a kończąc na wsparciu utrzymania, podczas którego chętnie podpowie co jeszcze można zrobić, żeby podnieść jakość i bezpieczeństwo infrastruktury klienta.