Google hat gerade einen Bug-Bounty-Wettbewerb mit einer Höchstprämie von 250.000 US-Dollar gestartet. Ziel dieses Wettbewerbs ist es, Schwachstellen im Open-Source-Hypervisor KVM (Kernel-based Virtual Machine) zu finden. Allerdings können Sicherheitsforscher diesen Betrag für einen erfolgreichen Guest-to-Host-Angriff erhalten.
Gießen Stimulieren Sie die Entdeckung von Schwachstellen, Google hat ein Prämienprogramm erstellt. Der erste Platz kann 250.000 US-Dollar einbringen. Dieser Wettbewerb wird wie ein Capture the Flag durchgeführt. Die Teilnehmer melden sich als Gäste an und scannen KVM auf Zero-Day-Schwachstellen.
KVM, ein Gemeinschaftsprojekt
KVM ist ein Open-Source-Projekt Unterstützt von Google. Seit 2007 ist es in Linux enthalten. KVM ermöglicht Intel- und AMD-Prozessoren mehrere virtuelle Maschinen ausführen. Diese Hardware-Emulation ist für verschiedene Betriebssysteme anpassbar. Google verwendet dazu KVM Android und Google Cloud um seine Bedeutung für sie hervorzuheben.
Letzten Oktober angekündigt, der kvmCTF-Wettbewerb offiziell begann am 27. Juni. Teilnehmer müssen zunächst UTC-Zeitfenster reservieren. Sie stellen eine Verbindung zur Gast-VM auf einem Bare-Metal-Host her. Dann versuchen sie einen Gast-zu-Host-Angriff.
Das Ziel ist es Finden Sie eine Zero-Day-Schwachstelle im KVM-Subsystem des Host-Kernels. Fehler im QEMU-Emulator oder bei Host-to-KVM-Techniken sind nicht förderfähig. Die Wettbewerbsregeln erklären den Prozess, vom Hochladen der Dateien bis zum Nachweis der Verwertung.
Auszeichnungen und Kategorien
Der Google Security Blog veröffentlichte die Bug-Bounty-Belohnungen am 27. Juni. Die Preise variieren je nach Schweregrad der ausgenutzten Sicherheitslücke.
Eine völlige Flucht der virtuellen Maschine bringt 250.000 US-Dollar ein. Ein willkürlicher Speicher-Lesevorgang und ein relativer Speicher-Schreibvorgang sind jeweils 50.000 wert. Ein Denial-of-Service ist 20.000 wert, während ein relativer Speicher-Lesevorgang 10.000 wert ist.
Belohnungen sind nicht kumulierbar. Dadurch erhalten ethische Hacker nur die endgültige Belohnung, ohne Zwischenschritte. Die erste erfolgreiche Einreichung ist der einzige Gewinner. Nach Angaben des kvmCTF-Discord-Kanals haben die Organisatoren bisher keine Einsendungen erhalten.
Kurz gesagt, Google zeigt sein Engagement Sichern Sie Ihre Technologien mit diesem Wettbewerb. Google hofft, durch das Angebot umfangreicher Belohnungen Sicherheitsforscher anzulocken. Dieses Bug-Bounty-Programm könnte die Sicherheit von KVM stärken. Dies wird einer großen Benutzergemeinschaft und sicheren Plattformen, die KVM nutzen, zugute kommen.
Teilen Sie den Artikel:
Facebook
Þjórsárden
LinkedIn
Unser Blog wird von Lesern betrieben. Wenn Sie über Links auf unserer Website einkaufen, verdienen wir möglicherweise eine Affiliate-Provision.
