Las nuevas recompensas de errores de Google incluyen las mitigaciones de seguridad experimentales del kernel de Linux personalizado

Google usa Linux «en casi todo», según el jefe del equipo de «Respuesta de seguridad del producto» de Google, incluidos los Chromebook, los teléfonos inteligentes Android e incluso Google Cloud, para mostrar cómo estamos aprovechando esas inversiones y aumentando nuestras recompensas. un proyecto Capture-the-Flag (CTF) de código abierto basado en Kubernetes llamado kCTF en 2020. El programa de recompensas por vulnerabilidad de kCTF permite a los investigadores conectarse a nuestras instancias de Google Kubernetes Engine (GKE), y cuando puedan piratearlo, serán marcado y potencialmente recompensado. GKE y sus dependencias están completamente dentro del alcance, pero hasta ahora cada indicador ha sido una violación de contenedor a través de una vulnerabilidad en el kernel de Linux. Desafortunadamente, las mitigaciones de seguridad a menudo son difíciles de cuantificar, pero creemos que hemos encontrado un forma de hacer esto específicamente para el futuro…. Primero, estamos extendiendo las cantidades de recompensa incrementadas que estamos comenzando este Este año, indefinidamente, lo que significa que seguiremos pagando entre $20 000 y $91 337 por vulnerabilidades en nuestra implementación de laboratorio de kCTF para recompensar el importante trabajo que se está realizando para comprender la seguridad del kernel y mejorarla. Esto se suma a nuestras recompensas de parches existentes para mejoras de seguridad proactivas. En segundo lugar, presentamos nuevas instancias con recompensas adicionales para evaluar la última imagen estable del kernel de Linux, así como nuevas mitigaciones experimentales en un kernel personalizado que construimos. En lugar de simplemente aprender sobre el estado actual de los núcleos estables, las nuevas instancias se utilizan para pedirle a la comunidad que nos ayude a evaluar el valor de nuestras mitigaciones de seguridad más recientes y experimentales. Hoy comenzamos un conjunto de contramedidas que creemos que dificultarán la explotación de la mayoría de las vulnerabilidades (9/10 vulnerabilidades y 10/13 explotaciones) que recibimos durante el año pasado. Pagamos $21,000 adicionales por explotaciones de vulnerabilidades enviadas recientemente que también comprometen el kernel de Linux más reciente. Para aquellos que comprometen nuestro kernel de Linux personalizado con nuestras protecciones experimentales, la recompensa es $21,000 adicionales (si claramente omiten las protecciones que probamos). Esto aumenta las recompensas totales a un máximo de $133,337. Esperamos que esto nos ayude a aprender más sobre lo difícil (o fácil) que es eludir nuestras defensas experimentales… Con el programa kCTF VRP, estamos construyendo un canal para analizar, experimentar, medir y crear medidas de seguridad para hacer que el Kernel de Linux lo más seguro posible con la ayuda de la comunidad de seguridad. Esperamos que con el tiempo podamos implementar mitigaciones de seguridad que hagan que la explotación de vulnerabilidades en el kernel de Linux sea lo más difícil posible. «No nos importan las vulnerabilidades, nos preocupamos por los exploits», dijo Vela al registro. “Estamos asumiendo que las vulnerabilidades están ahí, que están siendo parcheadas, y eso está muy bien. Pero la idea general es lo que puede hacer para no solo parchear algunas vulnerabilidades”. En general, Google pagó $ 8,7 millones en premios a casi 700 investigadores en sus diversos VPR el año pasado. «Somos solo un jugador en toda la comunidad que tiene recursos económicos y recursos financieros, pero necesitamos que la comunidad nos ayude a mejorar el kernel», dijo Vela para seguir creciendo. Pero la idea general es que necesitamos ver a dónde quiere la comunidad que vayamos con eso…»[I]Según Vela, no siempre se trata de la recompensa en efectivo, y los diferentes cazadores de errores tienen diferentes motivaciones. Algunos quieren dinero, otros quieren fama y otros solo quieren resolver un problema interesante, dijo Vela. «Estamos tratando de encontrar la combinación adecuada para cautivar a la gente».