Google condivide lezioni apprese da kCTF e VRPs su Linux

da Redazione
0 commenti 1 minuti leggi

Google ha integrato kCTF nel suo Programma di Ricompense per la Vulnerabilità (VRP) nel 2020 per supportare i ricercatori nella valutazione della sicurezza di Google Kubernetes Engine (GKE) e del kernel Linux sottostante. Da allora, l’azienda ha investito pesantemente in questo settore, estendendo l’ambito e la ricompensa massima del VRP nel 2021 e di nuovo nel 2022.

Lezioni apprese e statistiche

Dal suo inizio, il programma ha premiato i ricercatori con un totale di 1,8 milioni di dollari. Nell’ultimo anno, il 60% delle sottomissioni ha sfruttato il componente io_uring del kernel Linux, per il quale Google ha pagato circa 1 milione di dollari. Inoltre, le vulnerabilità di io_uring sono state utilizzate in tutte le sottomissioni che hanno eluso le mitigazioni di Google.

Limitazione di io_uring

Per proteggere i suoi utenti, Google ha deciso di limitare l’uso di io_uring nei suoi prodotti. È stato disabilitato su ChromeOS e sui server di produzione di Google, mentre su Android è inaccessibile alle app grazie al filtro seccomp-bpf. Inoltre, Google sta esaminando la possibilità di disabilitare io_uring per impostazione predefinita su GKE AutoPilot.

Trasparenza e introduzione di kernelCTF

Google ha reso pubblici i dettagli delle vulnerabilità e ha riassunto diverse tecniche di sfruttamento. In futuro, chiederà ai ricercatori di rendere open-source le loro sottomissioni, compreso il codice utilizzato. Inoltre, per allineare meglio gli incentivi con le sue aree di interesse, Google sta spostando il suo focus dal GKE e kCTF al kernel stabile più recente e alle sue mitigazioni, introducendo “kernelCTF” con la sua struttura di ricompensa e processo di sottomissione.

Annunci

Si può anche come

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love by Giuseppe Ferrara