Hakerzy z białych kapeluszy i inni łowcy nagród są zachwyceni: Google właśnie radykalnie podniósł ceny za wykrywanie luk typu zero-day i jednodniowych w punktach końcowych systemu Linux.
W poście na blogu Eduardo Vela, doradcy ds. luk w zabezpieczeniach, firma Google została niedawno zmuszona podnieść poprzeczkę, „aby dopasować nasze nagrody do oczekiwań” społeczności Linuksa. Ponieważ przeprowadzka okazała się sukcesem, firma zdecydowała się przedłużyć ją do końca roku.
To powiedziawszy, do 31 grudnia 2022 r. Google zapłaci od 20,000 91,337 do XNUMX XNUMX euro za luki w jądrze Linuksa, Kubernetes, GKE lub kCTF, które można wykorzystać w jego laboratorium testowym.
L33T sp33k
Dla tych, którzy zastanawiają się, dlaczego 91,337 90,000 euro, a nie 91,000 1337, 1337 XNUMX czy jakakolwiek inna okrągła liczba, liczba XNUMX jest również znana jako „mowa Leeta” lub „mowa elity”, język społeczności i gier hakerskich. To właśnie społeczność często skraca słowa i zastępuje litery cyframi, dlatego z „elity” zrobi się „XNUMX”,
Co więc dokładnie zrobiło Google?
- Zgłoszenie luki typu zero-day nie będzie wymagało wstępnego dołączenia flagi, aby zapobiec wyciekowi exploita do innych uczestników.
- Zgłoszenie pewnego dnia będzie wymagało dołączenia linku do rozwiązania.
- Uczestnicy będą mogli zgłosić osiągnięcie w ten sam sposób, w jaki zgłaszają flagę.
- Google obsługuje teraz dwa klastry, jeden w kanale wydań REGULAR, a drugi w kanale wydań RAPID, aby zapewnić większą elastyczność
- 31,337 XNUMX euro zostanie przeznaczone na pierwsze prawidłowe zgłoszenie exploita dla danej luki
- 0 EUR zostanie przeznaczone na zduplikowane exploity wykorzystujące tę samą lukę
- 20,000 XNUMX euro zostanie przeznaczone na exploity wykorzystujące luki dnia zerowego
- 20,000 XNUMX euro zostanie również przeznaczone na wykorzystanie luk w zabezpieczeniach, które nie wymagają nieuprzywilejowanych przestrzeni nazw użytkowników (CLONE_NEWUSER)
- Ta sama nagroda zostanie przyznana za exploity wykorzystujące nowe techniki eksploatacyjne.
„Te zmiany zwiększają liczbę jednodniowych exploitów do 71,337 31,337 euro (z 91,337 50,337 euro) i powodują, że maksymalna nagroda za pojedynczy exploit wynosi XNUMX XNUMX euro (z XNUMX XNUMX euro)” – wyjaśnił Google.
„Zapłacimy również za duplikaty co najmniej 20,000 0 euro, jeśli zademonstrują nowe techniki wydobywcze (zamiast XNUMX euro). Jednakże ograniczymy również liczbę nagród dziennie do tylko jednej na wersję/kompilację.