Google расширяет свою программу CTF

Глава группы реагирования на безопасность продуктов Google Cloud Эдуардо Вел заявил, что простое обнаружение уязвимостей и их исправление «совершенно бесполезно». Для компании важны не ошибки системы, а эксплойты.

Поэтому проект Google с открытым исходным кодом Capture-the-Flag на основе Kubernetes ( Kubernetes kCTF ) не платит исследователям вознаграждение только за обнаружение уязвимости ядра Linux. Вместо этого специалисты должны воспользоваться ошибкой: подключиться к экземпляру Google Kubernetes Engine (GKE), взломать его и использовать ошибку, чтобы украсть скрытые флаги.

Это делается для того, чтобы более широкое сообщество узнало об этом эксплойте и смогло использовать эти знания, чтобы попытаться сделать ядро ​​​​Linux и Интернет в целом более безопасным. Более того, за свои действия и вклад в сообщество багхантер может получить более $100 000.

Ранее в этом году Google увеличил размер вознаграждения , а сегодня заявил, что будет постоянно платить более высокие ставки от $20 000 до $91 337, чтобы привлечь больше пентестеров для обнаружения эксплойтов и использования среды kCTF.

Кроме того, в рамках программы kCTF Google вводит дополнительные награды для оценки последней версии ядра Linux и экспериментальных мер по смягчению последствий в специально созданном ядре. Компания заплатит дополнительно $21 000 за эксплойты, компрометирующие последнее ядро ​​​​Linux, и столько же за экспериментальные меры по смягчению последствий. Общая сумма вознаграждения составит максимум $133 337. Набор средств защиты направлен на атаки переполнения буфера, на кэш-атаки, помимо прочих.

Вел считает, что дело не всегда в денежной выплате, и у каждого багхантера свои мотивы. Кто-то хочет денег, кто-то хочет известности, а кому-то просто интересно решить проблему. Вел добавил, что команда Google kCTF пытается найти правильную комбинацию, чтобы привлечь специалистов.