Google anuncia un importante programa de recompensas por errores para mejorar la seguridad en general
Eliminar errores puede hacerte ganar un cuarto de millón de dólares.
Google ha lanzado un nuevo programa de recompensas por errores que promete generosos premios. El nuevo kvmCFT es un programa de recompensas por vulnerabilidades (VRP) para el hipervisor Kernel-based Virtual Machine (KVM) que la compañía anunció por primera vez en octubre de 2023.
KVM es un módulo de virtualización en el kernel de Linux que permite al kernel funcionar como un hipervisor. Proporciona la infraestructura para gestionar y ejecutar múltiples máquinas virtuales (VMs) en un único host físico, y cada VM puede ejecutar su propia instancia de un sistema operativo, que puede diferir del sistema operativo del host.
Según Google, este módulo ha estado en desarrollo de código abierto durante más de 15 años y es una parte importante de Android y Google Cloud. “Diseñamos kvmCTF como una forma colaborativa de ayudar a identificar y remediar vulnerabilidades, además de fortalecer este límite de seguridad fundamental”, señaló Google en la publicación de su blog.
En este programa de recompensas por errores, el enfoque estará en vulnerabilidades de día cero, lo que significa que Google no pagará por fallas de n días. Sin embargo, la compañía realizará pagos variables, según la gravedad de la vulnerabilidad descubierta.
Por ejemplo, un escape completo de la VM te hará ganar $250,000. Escritura de memoria arbitraria: $100,000, lectura de memoria arbitraria: $50,000, escritura relativa de memoria: $50,000, denegación de servicio: $20,000, y lectura relativa de memoria: $10,000.
Para los experimentos, Google preparó un host de metal desnudo ejecutando un único VM invitado. Los participantes reservarán un intervalo de tiempo para acceder al VM invitado e intentar llevar a cabo un ataque. El objetivo es explotar un día cero en el subsistema KVM o en el kernel del host.
Los detalles sobre las fallas de día cero se compartirán con Google después del lanzamiento de un parche ascendente, asegurando que Google los reciba al mismo tiempo que el resto de la comunidad de código abierto.