Η ομάδα έρευνας της Google ξεκίνησε το v8CTF, ένα capture-the-flag (CTF) challenge που επικεντρώνεται στο V8 JavaScript engine του προγράμματος περιήγησης Chrome και θα μπορούσαμε να πούμε ότι πρόκειται για μια επέκταση των προγραμμάτων exploit reward της εταιρείας.
Ο διαγωνισμός ξεκίνησε στις 6 Οκτωβρίου 2023 και είναι προσβάσιμος για όλους τους δημιουργούς exploits. “Μόλις εντοπίσετε μια ευπάθεια στην έκδοσή μας, εκμεταλλευτείτε την και grab the flag“, σημειώνουν οι μηχανικοί λογισμικού της Google, Stephen Roettger και Marios Pomonis.
Οι διαγωνιζόμενοι μπορούν είτε να προσπαθήσουν να βρουν γνωστές ευπάθειες (n-days) είτε να ανακαλύψουν νέες (zero-days ή 0-days). Ωστόσο, τα exploits που θα δημιουργήσουν πρέπει να είναι “σχετικά σταθερά“. Σύμφωνα με την εταιρεία, αυτό σημαίνει ότι μπορούν να εκτελεστούν σε λιγότερο από πέντε λεπτά και να έχουν τουλάχιστον 80% επιτυχία.
Δείτε επίσης: Google Mobile VRP: Νέο πρόγραμμα bug bounty για Android apps
“Εάν το σφάλμα που οδήγησε στο αρχικό memory corruption εντοπίστηκε από εσάς, δηλαδή αναφέρθηκε από την ίδια διεύθυνση email που χρησιμοποιήθηκε στην υποβολή v8CTF, θα θεωρήσουμε το exploit ως υποβολή zero-day. Όλα τα άλλα exploits θεωρούνται υποβολές n-day“, εξήγησε η Google.
Οι έγκυρες υποβολές θα λάβουν ανταμοιβή 10.000 $. Το v8CTF challenge πρόκειται να συμπληρώσει το Chrome Vulnerability Reward Program (VRP) της Google, που σημαίνει ότι οι δημιουργοί exploits που ανακαλύπτουν ένα zero-day exploit δικαιούνται πρόσθετη ανταμοιβή έως και 180.000 $.
Capture-the-Flag: Η Google θα προσφέρει έως και $99,999
Η Google αποκάλυψε, επίσης, τους κανόνες για το kvmCTF, ένα άλλο CTF challenge που επικεντρώνεται στο kernel-based virtual machine (KVM) του Google Cloud (θα κυκλοφορήσει αργότερα φέτος).
Δείτε επίσης: OpenAI: Πρόγραμμα Bug Bounty με ανταμοιβές έως και 20.000$
Για αυτόν τον διαγωνισμό, οι υποψήφιοι θα κληθούν να εκτελέσουν μια επιτυχημένη επίθεση guest-to-host βασισμένη σε 0-day και (patched) 1-day exploits.
Η Google ανακοίνωσε τις ανταμοιβές:
- $ 99.999 για πλήρες VM escape
- $ 34.999 για arbitrary (host) memory write exploits
- $ 24.999 για arbitrary (host) memory read exploits
- $ 14.999 για denial-of-service exploit που επηρεάζει τον κεντρικό υπολογιστή
Η Google ενθάρρυνε τους ερευνητές να δημοσιεύσουν τις υποβολές τους προκειμένου να βοηθήσουν την κοινότητα να μάθει ο ένας από τις τεχνικές του άλλου.
Δείτε επίσης: Google Bug Bounty: Το 2022 δόθηκαν $ 12 εκατ. σε ερευνητές
Διαδικασία υποβολής Chrome V8
- Εάν το exploit σας στοχεύει μια ευπάθεια zero-day, φροντίστε να την αναφέρετε πρώτα στο Chrome VRP.
- Ελέγξτε αν υπάρχει ήδη μια υποβολή για την τρέχουσα αναπτυσσόμενη έκδοση V8.
- Εκμεταλλευτείτε το σφάλμα και πάρτε το flag από το περιβάλλον v8CTF μας.
- Δημιουργήστε ένα αρχείο .tar.gz του exploit σας και υπολογίστε το sha256 του.
- Συμπληρώστε μια φόρμα με το flag και το exploit sha256 sum. Για υποβολές zero-day, οι υποβάλλοντες καλούνται να χρησιμοποιήσουν την ίδια διεύθυνση ηλεκτρονικού ταχυδρομείου από την οποία ανέφεραν το σφάλμα.
- Ένα σφάλμα στο Google Issue Tracker θα υποβληθεί εκ μέρους των υποψηφίων. Επισυνάψτε το exploit που ταιριάζει με το sha256 sum και ένα σύντομο write-up στο σφάλμα.
- Η Google θα χρειαστεί μερικές ημέρες για να επικυρώσει κάθε υποβολή.
Exploit και bug reward programs
Τα προγράμματα ανταμοιβών για την εύρεση και αξιοποίηση σφαλμάτων σε προϊόντα έχουν γίνει απαραίτητο στοιχείο του ευρύτερου πλαισίου ασφάλειας ΙΤ για πολλές τεχνολογικές επιχειρήσεις. Στην ουσία, οι εταιρείες προκαλούν προγραμματιστές και ειδικούς ασφάλειας να βρούνε και να αποκαλύψουν τυχόν αδυναμίες στα προϊόντα ή τις υπηρεσίες τους, προσφέροντάς τους ανταμοιβές για την προσπάθειά τους.
Τα προγράμματα αυτά δεν είναι απλά ένας ελκυστικός τρόπος για να αξιοποιηθούν τα ταλέντα των ανεξάρτητων ερευνητών. Παρέχουν, επίσης, μια αποτελεσματική μέθοδο για την ανίχνευση και την εξάλειψη των σφαλμάτων που μπορεί να οδηγήσουν σε μια παραβίαση. Η υποβολή ευάλωτων σημείων μπορεί να οδηγήσει σε πιο αποτελεσματικές λύσεις ασφάλειας και να επιτρέψει στις εταιρείες να διορθώσουν τα υπάρχοντα σφάλματα πριν γίνουν δημόσια.
Οι Προοπτικές των Προγραμμάτων Bug Bounty
Οι προοπτικές των προγραμμάτων ανταμοιβών για σφάλματα δείχνουν πολλά υποσχόμενες. Με την επέκταση των προγραμμάτων αυτών σε πεδία όπως το Chrome V8 και το Google Cloud, είναι σαφές ότι η Google συνεχίζει να αναγνωρίζει την αξία τους και να αυξάνει την επένδυσή της σε αυτά.
Πηγή: www.infosecurity-magazine.com