Beyaz şapkalı bilgisayar korsanları ve diğer ödül avcıları seviniyor – Google, Linux destekli uç noktalarda sıfır gün ve bir günlük güvenlik açıklarını keşfettiği için ödülleri önemli ölçüde artırdı.
İçinde Blog yazısı Güvenlik Açığı Eşleştiricisi Eduardo Vela tarafından, Google’ın kısa süre önce Linux topluluğunun “ödüllerimizi beklentilerle eşleştirmek için” ante’yi yükseltmeye zorlandığını söylüyor. Hareket başarılı olduğu için şirket şimdi bunu yıl sonuna kadar uzatmaya karar verdi.
Bununla birlikte, 31 Aralık 2022’ye kadar Google, Linux Çekirdeği, Kubernetes, GKE veya kCTF’deki test laboratuvarında yararlanılabilen güvenlik açıklarından yararlanılması için 20.000 ila 91.337 ABD Doları arasında herhangi bir yerde ödeme yapacaktır.
L33T sp33k
Neden 90.000, 91.000 veya başka bir tur numarası değil de 91.337$ olduğunu merak edenler için – 1337 aynı zamanda bilgisayar korsanlığı ve oyun topluluklarının dili olan “Leet speek” veya “elite talk” olarak da bilinir. Bu genellikle kelimeleri kısaltan ve harfleri sayılarla değiştiren topluluktur, bu nedenle “elite” “1337” olur,
Peki, Google tam olarak ne yaptı?
- Sıfır gün güvenlik açığının bildirilmesi, istismarın diğer katılımcılara sızdırılmasını önlemek için ilk başta bir bayrak eklenmesini gerektirmez.
- Bir günü bildirmek, yamaya bir bağlantı eklemeyi gerektirir.
- Katılımcılar, istismarı bayrağı gönderdikleri formda sunabileceklerdir.
- Google şimdi daha fazla esneklik sağlamak için biri REGULAR sürüm kanalında ve diğeri RAPID sürüm kanalında olmak üzere iki küme çalıştırıyor
- 31,337 $, belirli bir güvenlik açığı için ilk geçerli istismar gönderimine gidecek
- 0 $, aynı güvenlik açığı için yinelenen istismarlar için kullanılacak
- 20.000 $, sıfırıncı gün güvenlik açıkları için istismarlara gidecek
- Ayrıcalıksız kullanıcı ad alanları gerektirmeyen güvenlik açıkları için 20.000 ABD doları da kullanılacaktır (CLONE_NEWUSER)
- Yeni istismar teknikleri kullanan istismarlar için aynı ödül verilecektir.
Google, “Bu değişiklikler, bazı bir günlük istismarları 71,337 USD’ye (31.337 USD’den) yükseltiyor ve tek bir istismar için maksimum ödülün 91,337 USD (50.337 USD’den) olmasını sağlıyor, ”diye açıkladı Google.
“Ayrıca, yeni istismar teknikleri gösterirlerse (0 dolardan fazla) kopyalar için bile en az 20.000 dolar ödeyeceğiz. Ancak, bir günlük ödül sayısını da sürüm/yapı başına yalnızca bir taneyle sınırlayacağız.”