Hakerzy w białych kapeluszach i inni łowcy nagród cieszą się: Google właśnie drastycznie podniósł ceny za wykrywanie luk w punktach zerowych i jednodniowych w punktach końcowych z systemem Linux.

W poście na blogu autorstwa Vulnerability Matchmaker Eduardo Vela Google został niedawno zmuszony do podniesienia poprzeczki „aby dopasować nasze nagrody do oczekiwań” społeczności Linuksa. Ponieważ przeprowadzka okazała się sukcesem, firma zdecydowała się ją przedłużyć do końca roku.

To powiedziawszy, do 31 grudnia 2022 r. Google zapłaci od 20,000 91,337 do XNUMX XNUMX euro za luki w jądrze Linuksa, Kubernetes, GKE lub kCTF, które można wykorzystać w laboratorium testowym.

L33T sp33k

Dla tych, którzy zastanawiają się, dlaczego 91,337 90,000 euro, a nie 91,000 1337, 1337 XNUMX lub jakakolwiek inna okrągła liczba, XNUMX jest również znane jako „Leet Spek” lub „Elita mówi”, język społeczności hakerskich i gier. To społeczność często skraca słowa i zastępuje litery cyframi, więc „elita” stanie się „XNUMX”,

Więc co dokładnie zrobił Google?

  • Zgłoszenie luki dnia zerowego nie będzie wymagało wstępnego dołączenia flagi, aby uniknąć ujawnienia exploita innym uczestnikom.
  • Zgłoszenie dnia będzie wymagało dołączenia linku do rozwiązania.
  • Uczestnicy będą mogli zgłosić osiągnięcie w ten sam sposób, w jaki zgłaszają flagę.
  • Google prowadzi teraz dwa klastry, jeden w kanale wersji REGULAR, a drugi w kanale wersji RAPID, aby zapewnić większą elastyczność
  • 31,337 XNUMX EUR zostanie przeznaczone na pierwsze prawidłowe zgłoszenie exploita dla danej luki
  • 0 € zostanie przeznaczone na duplikaty exploitów dla tej samej luki
  • 20,000 XNUMX EUR zostanie przeznaczone na exploity na luki dnia zerowego
  • 20,000 XNUMX EUR zostanie również przeznaczone na wykorzystanie luk w zabezpieczeniach, które nie wymagają nieuprzywilejowanych przestrzeni nazw użytkowników (CLONE_NEWUSER)
  • Ta sama nagroda zostanie przyznana za exploity wykorzystujące nowe techniki eksploatacji.

„Zmiany te zwiększają wartość niektórych jednodniowych exploitów do 71,337 31,337 EUR (z 91,337 50,337 EUR) i zapewniają maksymalną nagrodę za pojedynczy exploit XNUMX XNUMX EUR (z XNUMX XNUMX EUR)” – wyjaśnił Google.

„Zapłacimy również za duplikaty co najmniej 20,000 0 euro, jeśli zademonstrują nowe techniki wydobycia (zamiast XNUMX euro). Jednak ograniczymy również liczbę nagród dziennie do jednej na wersję/kompilację.

Udostępnij to