Google komt weer met een beloningsprogramma voor speurneuzen die kwetsbaarheden opsporen. Deze keer gaat het om zero-day exploits in de Kernel-based Virtual Machine (KVM) hypervisor waar Google veel gebruik van maakt voor onder andere Android en het Google Cloud-platform. Afhankelijk van de grootte van de gevonden exploits kunnen de beloningen oplopen tot 250.000 dollar (232.000 euro).
Het zojuist gelanceerde vulnerability reward program (VRP) met de naam kvmCTF moet de algehele security van de KVM-hypervisor verbeteren. KVM is een open-source hypervisor die al meer dan 17 jaar bestaat en veelvuldig in gebruik is voor virtualisatie. Google is een belangrijke bijdrager aan de technologie, dus het bedrijf is er veel aan gelegen om het zo veilig mogelijk te houden.
Daarvoor gebruikt Google graag de expertise van security-specialisten die met een beloning in het vooruitzicht op zoek gaan naar kwetsbaarheden. Het programma is enigszins vergelijkbaar met Google’s kernelCTF, dat zich richt op kwetsbaarheden in de Linux-kernel.
Vlaggetje is geld waard
Deelnemers aan kvmCTF mogen guest-to-host aanvallen uitvoeren, waarbij de nadruk ligt op zero-day exploits in plaats van bekende problemen. QEMU- en host-to-KVM-kwetsbaarheden zijn uitgesloten van het programma. Security-onderzoekers krijgen toegang tot een gecontroleerde labomgeving om kwetsbaarheden op te sporen.
Vinden ze er één, dan verdienen ze een ‘vlaggetje’ die mogelijk is om te zetten in klinkende munt. Zo is een Relative Memory Read 10.000 dollar waard en een Denial of Service 20.000 dollar. Wanneer het lukt een Arbitrary Memory Write uit te voeren levert dat 100.000 dollar op en een volledige VM escape zelfs 250.000 dollar. De volledige lijst is hier te vinden.
Geïsoleerde omgeving
De kvmCTF-infrastructuur wordt gehost op Google’s Bare Metal Solution (BMS), een geïsoleerde omgeving om een en ander zo veilig mogelijk te houden. Deelnemers reserveren tijdvakken om toegang te krijgen tot de guest-VM om van daaruit te proberen guest-to-host-aanvallen uit te voeren, gericht op zero-day kwetsbaarheden in het KVM-subsysteem van de host-kernel.
Of Google een beloning ook daadwerkelijk uitkeert, moet blijken na een evaluatie van een succesvol uitgebuite kwetsbaarheid. Dat bekijkt het bedrijf van geval tot geval. Google maakt details van ontdekte kwetsbaarheden pas openbaar nadat ze zijn gepatched.
Lees ook: Bug bounty in de praktijk: de laatste beveiligingslaag