Google ha annunciato un esclusivo programma di ricompensa per i bug di Halloween della durata di 3 mesi, progettato per aiutare a scoprire e correggere i bug del kernel Linux. Il programma unico si basa sul Vulnerability Reward Program (VRP) annunciato lo scorso anno, con ricompense triple per gli studiosi di sicurezza. I premi di base di Google per ogni vulnerabilità patchata pubblicamente sono € XNUMX, con un limite di un exploit per vulnerabilità. Tuttavia, il premio può arrivare fino a XNUMX euro se il bug nel kernel Linux non è stato corretto (zero day); o se l'exploit utilizza un nuovo attacco o tecnica dal punto di vista di Google. "Investiamo continuamente nella sicurezza del kernel Linux perché gran parte di Internet e di Google, dai dispositivi che abbiamo in tasca ai servizi che girano su Kubernetes nel cloud, dipendono dalla sua sicurezza", ha spiegato Eduardo Candela. dal team di Google. Cacciatori di insetti.
Protezione del kernel Linux
Candela aggiunge che, sebbene Google spenda risorse nella ricerca sulle vulnerabilità e sugli attacchi del kernel Linux e abbia accantonato risorse per studiare e sviluppare le difese del kernel, si rende conto che deve fare di più. "Speriamo che i nuovi premi incoraggino la comunità della sicurezza a esplorare nuove tecniche per sfruttare il kernel al fine di ottenere un'elevazione dei privilegi e apportare soluzioni più rapide a queste vulnerabilità", aggiunge Candela. Oltre a ciò, il nuovo programma integra i premi VRP per Android, rendendo gli exploit eseguiti sul sistema operativo mobile idonei a ricevere un premio aggiuntivo fino a XNUMX dollari. Spiegando i meccanismi dell'iniziativa, Candela incoraggia i partecipanti a inviare una patch per correggere la vulnerabilità segnalata, che attirerà anche un premio collaterale dal programma patch bounty di Google. Candela suggerisce inoltre che i cacciatori di bug notino tutte le vulnerabilità upstream non appena vengono scoperte e le condividano con Google solo dopo che sono state rilasciate pubblicamente e corrette. Gli studiosi dovrebbero gestire il codice dell'exploit e l'algoritmo utilizzato per calcolare il checksum dell'hash, come una descrizione approssimativa della strategia dell'exploit. Per aiutarti a eseguire Linux, abbiamo raccolto i migliori laptop Linux