Google, hata avcılarından ve istismar yazarlarından Chrome’un V8 JavaScript motorunda ve Google Cloud’un Çekirdek Tabanlı Sanal Makinesinde (KVM) 0 günlük ve n günlük güvenlik açıkları geliştirmelerini istiyor.
“Güvenlik topluluğundan bu zorluğa nasıl yaklaşacaklarını anlamak için bir şeyler öğrenmek istiyoruz. Başarılı olursanız yalnızca ödül kazanmakla kalmayacak, aynı zamanda ürünlerimizi herkes için daha güvenli hale getirmemize de yardımcı olacaksınız. Bu aynı zamanda teknolojiler hakkında bilgi edinmek ve bunları kullanma konusunda uygulamalı deneyim kazanmak için de iyi bir fırsattır,” diye belirtti Google yazılım mühendisleri Stephen Roettger ve Marios Pomonis.
v8CTF ödül programı
V8’e odaklanan bir bayrak yakalama mücadelesi olan v8CTF, Cuma günü başlatıldı.
Exploit yazarları, istismar girişimlerini Google altyapısında çalışan bir V8 sürümüne karşı yapmalıdır. Mühendisler, “Konuşlandırılmış sürümümüzde mevcut bir güvenlik açığını belirledikten sonra, onu kullanın ve bayrağı ele geçirin” diye ekledi.
Diğer araştırmacılar tarafından bulunan bilinen (n günlük) güvenlik açıklarından veya kendilerinin ortaya çıkardığı bilinmeyen (0 günlük) güvenlik açıklarından yararlanmaya çalışabilirler.
İkinci durumda, hata avcısı, Chrome Güvenlik Açığı Ödül Programı kapsamında keşfedilen sıfır gün için bir ödül ve v8CTF ödül programı kapsamında 0 günlük istismar için bir ödül almaya hak kazanır; ancak bu ikisinin Başvurular aynı e-posta adresinden gönderilir.
“Kötüye kullanımların oldukça hızlı ve istikrarlı olması gerekiyor. Ortalama çalışma süresi 5 dakikadan az olan ve başarı oranı en az %80 olan gönderimleri kabul ediyoruz” diyor Google.
“Geçerli başvurular [under the v8CTF reward program] 10.000 dolar ödül alacaksınız.”
kvmCTF ödül programı
kvmCTF bu yılın sonlarında başlatılacak, ancak kurallar zaten yayınlandı.
Gönderenler 0 günlük ve (yamalı) 1 günlük hataları hedefleyebilir ve amaç, başarılı bir konuktan ana bilgisayara saldırı gerçekleştirmektir.
Tam bir VM kaçışının ödülü 99.999 $ olacak. Google, keyfi (ana bilgisayar) bellek yazma istismarları için 34.999 ABD Doları ve keyfi (ana bilgisayar) bellek okuma istismarları için 24.999 ABD Doları ödeyecek. Son olarak, ana bilgisayarı etkileyen başarılı bir hizmet reddi istismarı 14.999 $ ile ödüllendirilecek.
“KvmCTF (…), güvenlik araştırmacılarını LTS çekirdek sürümlerindeki 0 günlük ve 1 günlük güvenlik açıkları üzerinde yararlanma tekniklerini göstermeye davet ederek Çekirdek Tabanlı Sanal Makine (KVM) güvenlik açıklarından yararlanmayı zorlaştırmaya odaklanmıştır. Sonunda KVM’ye araştırmacıların bunları atlayıp atlayamayacağını ve nasıl atlayabileceğini görmek istediğimiz deneysel azaltımlar ekleyebiliriz” diyor Google.
“Araştırmacılara, topluluğun birbirlerinin tekniklerinden öğrenmesine yardımcı olmak için sunumlarını yayınlamalarını istiyoruz.”