Google, premi fino a 250 mila dollari nel nuovo programma di caccia alle vulnerabilità

Google ha introdotto kvmCTF, un programma di ricompense per vulnerabilità che mira a migliorare la sicurezza dell'hypervisor KVM. I premi raggiungono un tetto massimo di 250.000 dollari, con l'iniziativa che serve a invitare i ricercatori a identificare falle zero-day in uno dei componenti più importanti per le piattaforme Android e Google Cloud.
di Nino Grasso pubblicata il 03 Luglio 2024, alle 08:42 nel canale AppleGoogle ha appena lanciato kvmCTF, un nuovo programma di ricompense per vulnerabilità focalizzato sull'hypervisor KVM (Kernel-based Virtual Machine). L'iniziativa era stata annunciata nel mese di ottobre 2023, e rappresenta un importante investimento nella protezione di una componente fondamentale per le infrastrutture cloud e i dispositivi mobili.
KVM è un hypervisor open source con oltre 17 anni di sviluppo alle spalle, e gioca un ruolo cruciale sia nel settore consumer sia in quello enterprise. La sua importanza è sottolineata dal suo utilizzo nelle piattaforme Android e Google Cloud, cosa che fa ben capire quanto sia prioritaria la sua sicurezza per il colosso di Mountain View. Il programma kvmCTF si distingue per la sua focalizzazione esclusiva sulle vulnerabilità zero-day nell'hypervisor KVM che possono condurre ad attacchi guest-to-host, escludendo specificamente i bug in QEMU o le vulnerabilità host-to-KVM.
Premi fino a 250 mila euro per chi scopre vulnerabilità su KVM
La struttura delle ricompense di kvmCTF è stata progettata per incentivare la ricerca di vulnerabilità di alto impatto. Al vertice della scala si trova la ricompensa di 250 mila dollari per la scoperta di exploit che permettono una fuga completa dalla macchina virtuale. Seguono premi sostanziosi per altre categorie di vulnerabilità, come la scrittura arbitraria della memoria (100 mila dollari) e la lettura arbitraria della memoria (50 mila dollari). Anche scoperte meno critiche, come attacchi di tipo denial of service, vengono riconosciute con premi fino a 20 mila dollari.
Per partecipare, i ricercatori di sicurezza hanno accesso a un ambiente di laboratorio controllato, ospitato nell'infrastruttura Bare Metal Solution (BMS) di Google, un setup che dovrebbe permettere ai partecipanti di testare i loro exploit in condizioni realistiche. Un aspetto innovativo del programma è il suo approccio alla divulgazione delle vulnerabilità: Google ha scelto di ricevere i dettagli delle falle scoperte solo dopo il rilascio delle patch, quindi le informazioni cruciali verranno condivise simultaneamente con l'intera comunità open source al fine di promuovere una collaborazione trasparente ed efficace nella risoluzione dei problemi di sicurezza.
L'invito di Google ai ricercatori di sicurezza a partecipare a kvmCTF rappresenta un'opportunità significativa per la comunità di contribuire attivamente al miglioramento della sicurezza di KVM. Con ricompense sostanziose e un framework ben strutturato, il programma promette di attrarre talenti di alto livello e di stimolare scoperte importanti nel campo della sicurezza delle macchine virtuali.
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".