من فضلك تسجيل الدخول أو تسجيل لتفعل ذلك.

أطلقت Google برنامج kvmCTF، وهو برنامج مكافأة الثغرات الأمنية الجديد (VRP) الذي تم الإعلان عنه لأول مرة في أكتوبر 2023 لتحسين أمان برنامج التشغيل الافتراضي القائم على Kernel Virtual Machine (KVM) والذي يأتي مع مكافآت قدرها 250 ألف دولار لاستغلال الثغرات الأمنية الكاملة في VM.

KVM، وهو برنامج مشرف مفتوح المصدر تم تطويره على مدار أكثر من 17 عامًا، هو مكون أساسي في إعدادات المستهلك والمؤسسات، حيث يعمل على تشغيل منصات Android وGoogle Cloud.

باعتبارها مساهمًا نشطًا ورئيسيًا في KVM، قامت Google بتطوير kvmCTF كمنصة تعاونية للمساعدة في تحديد نقاط الضعف وإصلاحها، وتعزيز طبقة الأمان الحيوية هذه.

مثل برنامج مكافأة الثغرات الأمنية kernelCTF من Google، والذي يستهدف عيوب أمان kernel Linux، يركز kvmCTF على الأخطاء التي يمكن الوصول إليها من خلال VM في برنامج التشغيل الافتراضي Kernel-based Virtual Machine (KVM).

الهدف هو تنفيذ هجمات ناجحة من الضيف إلى المضيف، ولن يتم منح نقاط ضعف QEMU أو المضيف إلى KVM.

يتم تزويد الباحثين الأمنيين الذين يسجلون في البرنامج ببيئة معملية خاضعة للرقابة حيث يمكنهم استخدام الثغرات الأمنية لالتقاط العلامات. ومع ذلك، على عكس برامج مكافأة الثغرات الأمنية الأخرى، يركز برنامج kvmCTF على الثغرات الأمنية التي لم يتم اكتشافها بعد ولن يكافئ الثغرات الأمنية التي تستهدف الثغرات الأمنية المعروفة.

مستويات المكافأة لـ kvmCTF هي كما يلي:

  • الهروب الكامل من VM: 250000 دولار
  • الكتابة العشوائية في الذاكرة: 100000 دولار
  • قراءة عشوائية للذاكرة: 50000 دولار
  • كتابة الذاكرة النسبية: 50000 دولار
  • رفض الخدمة: 20000 دولار
  • قراءة الذاكرة النسبية: 10000 دولار

يتم استضافة البنية الأساسية لـ kvmCTF على بيئة Bare Metal Solution (BMS) من Google، مما يسلط الضوء على التزام البرنامج بمعايير الأمان العالية.

“سيتمكن المشاركون من حجز فترات زمنية للوصول إلى جهاز VM الضيف ومحاولة تنفيذ هجوم من الضيف إلى المضيف. يجب أن يكون هدف الهجوم استغلال ثغرة أمنية في نظام فرعي KVM في نواة المضيف.” قال مهندس برمجيات جوجل ماريوس بومونيس.

“في حالة نجاح الهجوم، سيحصل المهاجم على علامة تثبت نجاحه في استغلال الثغرة الأمنية. وستحدد شدة الهجوم مبلغ المكافأة، والذي سيعتمد على نظام مستويات المكافأة الموضح أدناه. وسيتم تقييم جميع التقارير بدقة على أساس كل حالة على حدة.”

ستتلقى Google تفاصيل الثغرات الأمنية المكتشفة فقط بعد إصدار التصحيحات الأولية، مما يضمن مشاركة المعلومات مع مجتمع المصادر المفتوحة في نفس الوقت.

للبدء، يجب على المشاركين مراجعةقواعد kvmCTF، والتي تتضمن معلومات حول حجز الفترات الزمنية، والاتصال بجهاز VM الضيف، والحصول على العلامات، وتعيين انتهاكات KASAN المختلفة لمستويات المكافأة، بالإضافة إلى تعليمات مفصلة حول الإبلاغ عن الثغرات الأمنية.

اقرأ أكثر

18 0 يوليو 3, 2024
جوجل توسع تعريفها لإعلانات الانتخابات الأمريكية
هواتف سلسلة Google Pixel 6 تتعطل بعد إعادة ضبط المصنع

Reactions

0
0
0
0
0
0
بالفعل كان رد فعل لهذا المنصب.

ردود الفعل