Google ofrece una recompensa por errores de 250.000 dólares por KVM

Google ofrece una recompensa por errores de 250.000 dólares por KVM
Google ofrece una recompensa por errores de 250.000 dólares por KVM
-

Google acaba de lanzar un concurso de recompensas por errores con una recompensa máxima de 250.000 dólares. Este concurso tiene como objetivo encontrar fallas en el hipervisor KVM (máquina virtual basada en kernel) de código abierto. Dicho esto, los investigadores de seguridad pueden obtener esta cantidad por un ataque exitoso de invitado a anfitrión.

Verter estimular el descubrimiento de vulnerabilidades, Google creó un programa de recompensas. El primer lugar puede aportar 250.000 dólares. Esta competición se lleva a cabo como una captura de la bandera. Los participantes inician sesión como invitados y escanean KVM en busca de vulnerabilidades de día cero.

KVM, un proyecto colaborativo

KVM es un proyecto de código abierto apoyado por Google. Desde 2007 está incluido en Linux. KVM permite que los procesadores Intel y AMD ejecutar varias máquinas virtuales. Esta emulación de hardware se puede personalizar para diferentes sistemas operativos. Google utiliza KVM para Android y Google Cloud para resaltar su importancia para ellos.

Anunciado el pasado mes de octubre, el concurso kvmCTF Comenzó oficialmente el 27 de junio. Los participantes primero deben reservar franjas horarias UTC. Se conectan a la máquina virtual invitada en un host básico. Luego, intentan un ataque de invitado a anfitrión.

El objetivo es encontrar una vulnerabilidad de día cero en el subsistema KVM del kernel host. Los fallos en el emulador QEMU o mediante técnicas de host a KVM no son elegibles. Las bases del concurso explican el proceso, desde la carga de archivos hasta la prueba de explotación.

Premios y categorías

El blog de seguridad de Google publicó las recompensas por errores el 27 de junio. Los precios varían según la gravedad de la vulnerabilidad explotada..

Un escape completo de la máquina virtual genera $250,000. Una escritura de memoria arbitraria vale 100.000. Una lectura de memoria arbitraria y una escritura de memoria relativa valen cada una 50.000. Una denegación de servicio vale 20.000, mientras que una lectura de memoria relativa vale 10.000.

Las recompensas no son acumulables. Como resultado, los hackers éticos sólo reciben la recompensa final, sin pasos intermedios. La primera presentación exitosa es el unico ganador. Hasta la fecha, los organizadores no han recibido ninguna presentación, según el canal kvmCTF Discord.

En definitiva, Google muestra su compromiso con Asegure sus tecnologías con esta competencia. Al ofrecer recompensas sustanciales, Google espera atraer investigadores de seguridad. Este programa de recompensas por errores podría fortalecer la seguridad de KVM. Esto beneficiará a una gran comunidad de usuarios y plataformas seguras que utilizan KVM.

Comparte el artículo:


Facebook


LinkedIn

Nuestro blog está impulsado por lectores. Cuando compra a través de enlaces en nuestro sitio, podemos ganar una comisión de afiliado.

-

PREV Antes de salir, esta estación meteorológica conectada por menos de 30 euros te dará información clave
NEXT La IA del software de gráficos Figma bombea descaradamente la aplicación Weather de Apple