Οι χάκερ θριαμβεύουν - η Google μόλις αύξησε σημαντικά την ανταμοιβή για την εύρεση τρωτών σημείων στα τελικά σημεία του Linux. Σε μια ανάρτηση στο ιστολόγιο του Vulnerability Matchmaker, Eduardo Vela, η Google χρειάστηκε πρόσφατα να αυξήσει τα πονταρίσματα "για να διατηρήσει τις ανταμοιβές μας σύμφωνα με τις προσδοκίες" της κοινότητας Linux. Δεδομένου ότι η μετακόμιση ήταν επιτυχής, η εταιρεία αποφάσισε να την παρατείνει μέχρι το τέλος του έτους.
Έτσι, μέχρι τις 31 Δεκεμβρίου 2022, η Google θα πληρώνει από 20 έως 000 δολάρια για την εκμετάλλευση ευπαθειών στον πυρήνα του Linux, στο Kubernetes, στο GKE ή στο kCTF που μπορούν να αξιοποιηθούν στο εργαστήριο δοκιμών της εταιρείας. Για όσους αναρωτιούνται γιατί 91 $ και όχι 337, 91 ή οποιοσδήποτε άλλος στρογγυλός αριθμός - το 337 είναι επίσης γνωστό ως "Leet speak" ή "elite speak" στις κοινότητες hacking και gaming. Αυτή η κοινότητα συχνά συντομεύει λέξεις και αντικαθιστά τα γράμματα με αριθμούς, έτσι η λέξη "ελίτ" γίνεται "90".
Όσον αφορά την επιτυχία της υπάρχουσας δοκιμής, η Google είπε ότι έλαβε εννέα αιτήσεις σε τρεις μήνες και πλήρωσε περισσότερα από 175 δολάρια σε ανταμοιβές. Οι υποβολές περιελάμβαναν πέντε τρωτά σημεία μηδενικής ημέρας ή προηγουμένως άγνωστα ελαττώματα και δύο εκμεταλλεύσεις για ευπάθειες της πρώτης ημέρας ή ελαττώματα που ανακαλύφθηκαν πρόσφατα. Σύμφωνα με την Google, τρία από αυτά έχουν επιδιορθωθεί και δημοσιοποιηθούν.
Η Google αλλάζει «ελαφρώς» τη δομή ανταμοιβής. Θα πληρώσει τώρα 31 $ "για την πρώτη αποστολή ενός exploit για μια δεδομένη ευπάθεια" και δεν θα πληρώσει τίποτα για διπλό exploit. Ωστόσο, ορισμένα μπόνους ενδέχεται να εξακολουθούν να ισχύουν για διπλότυπα exploit. Αυτά περιλαμβάνουν: 337 $ για εκμεταλλεύσεις για τρωτά σημεία μηδενικής ημέρας, 20 $ για εκμεταλλεύσεις για ευπάθειες που δεν απαιτούν χώρους ονομάτων μη προνομιούχων χρηστών (CLONE_NEWUSER) και 000 $ για εκμεταλλεύσεις που χρησιμοποιούν νέες τεχνικές (προηγουμένως δεν πληρώνονταν καθόλου).
Αυτό το Linux Kernel Bug Bounty είναι ένα μικρό μέρος του συνολικού Προγράμματος Ευπάθειας Bounty της Google, το οποίο καλύπτει Android, Chrome και άλλα έργα ανοιχτού κώδικα. Το 2021, η Google κατέβαλε 8,7 εκατομμύρια δολάρια ως αποζημίωση, εκ των οποίων τα 2,9 εκατομμύρια δολάρια οφείλονταν σε σφάλματα Android και 3,3 εκατομμύρια δολάρια για σφάλματα στο Chrome. Τα συνολικά βραβεία πέρυσι αυξήθηκαν από 6,7 εκατομμύρια δολάρια το 2020.
Διαβάστε επίσης:
- Πώς να εγκαταστήσετε και να διαχειριστείτε επεκτάσεις στο Google Chrome
- Πώς να προσθέσετε μια ιστοσελίδα στη Λίστα ανάγνωσης του Google Chrome