Google pagará 31,337 dólares a los investigadores de seguridad que exploten la escalada de privilegios en su entorno de laboratorio con una vulnerabilidad parcheada. La oferta será hasta el 31 de enero de 2022.
El gigante de Internet también tiene disponibles 50,337 dólares para los que utilizan una vulnerabilidad sin parchear previamente o una nueva técnica de explotación, según lo anunciado por Eduardo Vela, del equipo de Google Bug Hunters (Cazadores de errores).
“Invertimos constantemente en la seguridad del kernel de Linux porque gran parte de Internet y Google, desde los dispositivos en nuestros bolsillos hasta los servicios que se ejecutan en Kubernetes en la nube, dependen de su seguridad”.
Ha dejado claro que en la compañía de la “G” multicolor investigan las vulnerabilidades y ataques, al tiempo que estudian y desarrollan sus defensas más efectivas.
Es importante mencionar que, en informática, un núcleo o kernel se define como un software que representa una parte fundamental del sistema operativo. El kernel, además, sería la parte que se ejecuta en modo privilegiado.
“Pero sabemos que hay más trabajo por hacer. Es por eso que hemos decidido construir sobre nuestro kCTF VRP del año pasado y triplicar nuestros montos de recompensa anteriores”.
Las recompensas base por cada vulnerabilidad parcheada públicamente son 31,337 dólares (como máximo un exploit por vulnerabilidad), pero la recompensa puede llegar hasta 50,337 dólares en dos casos: si la vulnerabilidad no se corrigió en el Kernel (día 0) y si el exploit utiliza un nuevo ataque o técnica, según lo determine Google.
Comunidad de seguridad
En Google esperan que las nuevas recompensas alienten a la comunidad de seguridad a explorar nuevas técnicas de explotación del kernel para lograr la escalada de privilegios e impulsar soluciones más rápidas para estas vulnerabilidades.
Es importante tener en cuenta que las primitivas de explotación más fáciles no están disponibles en su entorno de laboratorio debido al endurecimiento realizado en Container-Optimized OS.
Vela ha puntualizado que este programa complementa las recompensas VRP de Android, por lo que los exploits que funcionan en Android también podrían ser elegibles para recompensas hasta de 250,000 dólares (eso es además de este programa).
“Las mecánicas son: conéctese al clúster kCTF VRP, obtenga la raíz y lea el indicador y, luego, envíe su indicador y una suma de comprobación de su exploit”.
También recomienda informar las vulnerabilidades al flujo ascendente, en caso de que corresponda, e incluir un parche. Y es que el investigador de seguridad podría calificar para una recompensa adicional del Programa de recompensas de parches, pero debe informar las vulnerabilidades de inmediato una vez que confirme que son explotables.
Igualmente debe notificar su hallazgo a Google VRP una vez que todos los parches estén disponibles públicamente, pues no quieren recibir detalles de las vulnerabilidades sin parche antes de hacerla pública.
“Proporcione el código de explotación y el algoritmo utilizado para calcular la suma de comprobación hash. Se agradece una descripción aproximada de la estrategia de explotación”.
Otro punto importante es que los informes se clasificarán semanalmente. Si alguien tiene problemas con el entorno del laboratorio, bien sea porque no esté disponible, problemas técnicos u otras preguntas, recomienda contactar al equipo “en Discord en #kctf”.