Теперь пентестер может получить более $100 000 и проводить больше атак.
Глава группы реагирования на безопасность продуктов Google Cloud Эдуардо Вел заявил, что простое обнаружение уязвимостей и их исправление «совершенно бесполезно». Для компании важны не ошибки системы, а эксплойты.
Поэтому проект Google с открытым исходным кодом Capture-the-Flag на основе Kubernetes ( Kubernetes kCTF ) не платит исследователям вознаграждение только за обнаружение уязвимости ядра Linux. Вместо этого специалисты должны воспользоваться ошибкой: подключиться к экземпляру Google Kubernetes Engine (GKE), взломать его и использовать ошибку, чтобы украсть скрытые флаги.
Это делается для того, чтобы более широкое сообщество узнало об этом эксплойте и смогло использовать эти знания, чтобы попытаться сделать ядро Linux и Интернет в целом более безопасным. Более того, за свои действия и вклад в сообщество багхантер может получить более $100 000.
Ранее в этом году Google увеличил размер вознаграждения , а сегодня заявил, что будет постоянно платить более высокие ставки от $20 000 до $91 337, чтобы привлечь больше пентестеров для обнаружения эксплойтов и использования среды kCTF.
Кроме того, в рамках программы kCTF Google вводит дополнительные награды для оценки последней версии ядра Linux и экспериментальных мер по смягчению последствий в специально созданном ядре. Компания заплатит дополнительно $21 000 за эксплойты, компрометирующие последнее ядро Linux, и столько же за экспериментальные меры по смягчению последствий. Общая сумма вознаграждения составит максимум $133 337. Набор средств защиты направлен на атаки переполнения буфера, на кэш-атаки, помимо прочих.
Вел считает, что дело не всегда в денежной выплате, и у каждого багхантера свои мотивы. Кто-то хочет денег, кто-то хочет известности, а кому-то просто интересно решить проблему. Вел добавил, что команда Google kCTF пытается найти правильную комбинацию, чтобы привлечь специалистов.
Сбалансированная диета для серого вещества