Google, insanları açık kaynaklı Çekirdek tabanlı Sanal Makine (KVM) hipervizöründeki güvenlik açıklarını bulmaya teşvik etmek için bir Güvenlik açığı ödül programı (VRP)en büyük ödülün çeyrek milyon dolara kadar olduğu. VRP, test edenin misafir olarak oturum açtığı ve KVM ana bilgisayar çekirdeğinde sıfır günlük bir güvenlik açığı bulmaya çalıştığı bir yakalama-bayrağı yarışması olarak kurulur.
KVM bir açık kaynak projesiGoogle’ın aktif bir katkıda bulunduğu, 2007’den beri ana hat Linux’a dahil edilen. Intel veya AMD destekli cihazların, birden fazla eski işletim sistemini desteklemek üzere özelleştirilebilen donanım emülasyonuyla birden fazla sanal makine (VM) çalıştırmasına olanak tanır. Google bunu Android ve Google Cloud platformlarında kullanır, bu nedenle onu güvenli tutmakta çıkarı vardır.
İlk olarak geçen Ekim ayında duyuruldu“kvmCTF” yarışması resmen 27 Haziran’da başladı. Katılımcılar, çıplak metal bir ana bilgisayarda çalışan konuk VM’de oturum açmak için zaman aralıklarını (UTC formatında) ayırıyor ve ardından konuk-ana bilgisayara saldırı girişiminde bulunuyor.
“Saldırının amacı, ana çekirdeğin KVM alt sistemindeki sıfır günlük bir güvenlik açığından yararlanmak olmalıdır.” Google’ın lansman yazısı belirtilen yarışma için. Bu amaçla, QEMU emülatöründe başlayan veya ana bilgisayardan KVM tekniklerine dayanan güvenlik açıkları yarışmada ele alınmamıştır. Tam kurallar Gerekli dosyaların nasıl indirileceğinden başarılı bir saldırının nasıl doğru bir şekilde kanıtlanacağına kadar tüm süreci ayrıntılı olarak açıklayın.
Bu ödül listesi 27 Haziran tarihli Google Güvenlik blog yazısında yer aldı:
-
Keyfi hafıza yazma: 100.000$
-
Rastgele hafızada okunan: 50.000 dolar
-
Bağıl bellek yazma: 50.000 $
-
Hizmet reddi: 20.000 $
-
Göreceli hafıza okundu: 10.000 $
Ödüller üst üste gelmez — etik hacker’lar yalnızca uç nokta ödülünü alır, ara adımlar için de ödül almaz. Ayrıca, yalnızca ilk başarılı gönderim ödülü kazanır, ancak basın saatine kadar, tartışmaya göre hiçbir gönderim alınmadı. kvmCTF Discord kanalı.