Peretas topi putih dan pemburu hadiah lainnya bergembira – Google baru saja menaikkan hadiah secara signifikan karena menemukan kerentanan zero-day dan one-day pada titik akhir yang diberdayakan Linux (terbuka di tab baru).
Dalam sebuah posting blog (terbuka di tab baru) oleh Vulnerability Matchmaker Eduardo Vela, dikatakan bahwa Google baru-baru ini dipaksa untuk menaikkan taruhan “untuk menyesuaikan hadiah kami dengan harapan” komunitas Linux. Karena langkah tersebut ternyata sukses, perusahaan kini telah memutuskan untuk memperpanjangnya hingga akhir tahun.
Meskipun demikian, hingga 31 Desember 2022, Google akan membayar antara $20.000 dan $91.337 untuk eksploitasi kerentanan di Kernel Linux, Kubernetes, GKE, atau kCTF, yang dapat dieksploitasi di lab pengujiannya.
L33T sp33k
Bagi mereka yang bertanya-tanya mengapa $91.337, dan bukan 90.000, 91.000, atau angka bulat lainnya – 1337 juga dikenal sebagai “Leet speek”, atau “elite speak” – bahasa komunitas peretasan dan game. Inilah komunitas yang sering menyingkat kata dan mengganti huruf dengan angka, sehingga “elit” menjadi “1337”,
Jadi, apa sebenarnya yang dilakukan Google?
- Melaporkan kerentanan zero-day tidak perlu menyertakan bendera terlebih dahulu, untuk mencegah bocornya eksploit ke peserta lain.
- Melaporkan satu hari akan membutuhkan menyertakan tautan ke tambalan.
- Peserta akan dapat mengirimkan eksploit dalam bentuk yang sama saat mereka mengirimkan bendera
- Google kini menjalankan dua kluster, satu di saluran rilis REGULAR dan satu lagi di saluran rilis RAPID, untuk memberikan lebih banyak fleksibilitas
- $31.337 akan digunakan untuk pengiriman eksploit valid pertama untuk kerentanan yang diberikan
- $0 akan digunakan untuk eksploitasi duplikat untuk kerentanan yang sama
- $20.000 akan digunakan untuk mengeksploitasi kerentanan zero-day
- $20.000 juga akan digunakan untuk mengeksploitasi kerentanan yang tidak memerlukan ruang nama pengguna yang tidak memiliki hak istimewa (CLONE_NEWUSER)
- Hadiah yang sama akan diberikan untuk eksploitasi menggunakan teknik eksploitasi baru
“Perubahan ini meningkatkan beberapa eksploitasi satu hari menjadi $71.337 USD (naik dari $31.337), dan membuatnya sehingga hadiah maksimum untuk satu eksploitasi adalah $91.337 USD (naik dari $50.337),” jelas Google.
“Kami juga akan membayar bahkan untuk duplikat setidaknya $20.000 jika mereka menunjukkan teknik eksploitasi baru (naik dari $0). Namun, kami juga akan membatasi jumlah hadiah untuk satu hari menjadi hanya satu per versi/build.”
- Berikut ikhtisar kami tentang firewall terbaik (terbuka di tab baru) sekarang
