Google хочет усложнить использование недостатков ядра Linux
«Экспериментальные меры по смягчению последствий» в специальном ядре могут усложнить жизнь хакерам.
Google заявляет, что использует Linux «почти во всем», от Chromebook до облака. Теперь он увеличивает вознаграждение исследователям безопасности, которые могут обнаружить недостатки в операционной системе с открытым исходным кодом.
С 2020 года Google запускает проект Capture-the-Flag (CTF) на базе Kubernetes с открытым исходным кодом под названием kCTF, который позволяет исследователям подключаться к его экземплярам Google Kubernetes Engine (GKE) и пытаться взломать их, чтобы захватить флаг. Каждый пойманный до сих пор «флаг» был прорывом контейнера через уязвимость ядра Linux.
Теперь компания Google разработала ряд мер по смягчению последствий, которые, по ее мнению, усложнят эксплуатацию большинства уязвимостей и эксплойтов, полученных в прошлом году.
Google заявил, что предлагает хакерам, которые смогут обойти эти меры защиты, до 133 337 долларов.
Теперь он предлагает дополнительные 21 000 долларов за новые эксплойты, которые ставят под угрозу новейшее ядро Linux, и еще 21 000 долларов для хакеров, которые смогут «явно» обойти экспериментальные средства защиты от эксплойтов в своем специальном экземпляре. Таким образом, общая сумма вознаграждений достигает максимума в 133 337 долларов США.
Программа kCTF делает упор на поиск новых эксплойтов против ядра, а не на поиск новых уязвимостей. Google стремится разработать защиту для ядра Linux, которое используется в Android, Chromebook и в рабочих нагрузках Google Cloud.
Google также теперь предлагает от 20 000 до 91 337 долларов за новые эксплойты ядра на неопределенный срок после введения этого диапазона вознаграждений на временной основе в феврале.
«Вместо того, чтобы просто узнавать о текущем состоянии стабильных ядер, новые экземпляры будут использоваться для того, чтобы попросить сообщество помочь нам оценить ценность как наших последних, так и более экспериментальных мер по снижению безопасности», — говорит Эдуардо Вела из Google.
«С помощью программы kCTF VRP мы создаем конвейер для анализа, экспериментирования, измерения и создания мер по снижению безопасности, чтобы сделать ядро Linux максимально безопасным с помощью сообщества безопасности. Мы надеемся, что со временем мы будем способен принять меры по снижению безопасности, которые максимально затрудняют эксплуатацию уязвимостей ядра Linux».