Google har lanceret et nyt program, der er tiltænkt til at motivere og honorere sikkerhedseksperter, som kan identificere og rapportere sårbarheder i deres Kernel-baserede Virtual Machine (KVM).
Og det er ikke småpenge, der er på spil, hvis du skulle finde den rette fejl eller sårbarhed.
Google har nemlig sat helt op til 250.000 dusør-dollar (mere end 1,7 millioner kroner) på spil til de sikkerhedseksperter, der finder de mest kritiske fejl og sårbarheder.
KVM's betydning for Google
KVM har været en integreret del af virtualiseringsteknologien i mere end 17 år og spiller en afgørende rolle i drift af både Android-enheder og Google Cloud-tjenester.
Som en af de førende bidragsydere til denne åben kildekode-hypervisor, har Google en vital interesse i at opretholde og forbedre dens sikkerhed.
Derfor kommer kvmCTF (kvm Capture The Flag) som et led i en løbende indsats for at opspore og udrydde potentielle sikkerhedstrusler gennem samarbejde med eksterne eksperter.
Sådan fungerer kvmCTF-programmet
Deltagerne får adgang til et specielt indrettet laboratoriemiljø, hvor de kan udføre angreb fra gæst til vært.
Disse tests fokuserer på at opdage zero-day exploits, altså hidtil ukendte sårbarheder, som endnu ikke er offentligt dokumenteret eller rettet.
Hele kvmCTF-infrastrukturen er placeret inden for Google's Bare Metal Solution (BMS), som er et sikret og isoleret miljø.
Setup'et er designet til at maksimere sikkerheden og tillader deltagerne at reservere tidsslots for at teste og angribe virtuelle maskiner under kontrollerede forhold.
Forskellige belønninger for forskellige fejl og sårbarheder
Afhængigt af fejlens art og sværhedsgrad, kan deltagerne opnå forskellige belønninger.
Et såkaldt relative memory read kan eksempelvis indbringe 69.300 kroner, mens et denial of service er 138.600 kroner værd.
For mere komplekse opdagelser som et såkaldt arbitrary memory write tildeles deltagerne 693.000 kroner, mens et ’full VM escape’ giver deltagerne en belønning på 1.732.500 kroner.
Det er ikke givet, at alle opdagede sårbarheder vil føre til en belønning, lyder det i forbindelse med programmet.
Hver indrapportering vil blive vurderet individuelt og belønningerne afhænger af sårbarhedens betydning og kompleksitet.
Detaljer om de identificerede fejl bliver først offentliggjort efter de er blevet udbedret, for at undgå misbrug.
Du kan se den fulde liste over belønningerne her.