Google expande programa Bug Bounty com eventos CTF

A Google anunciou a expansão do Bug Bounty, o seu programa de recompensas para vulnerabilidades, com dois eventos de “captura de bandeira” (CTF – “capture the flag” em inglês) centrados no mecanismo de renderização JavaScript V8 do Chrome e na máquina virtual baseada em kernel (KVM).

O v8CTF já está em curso e oferece aos investigadores de segurança recompensas monetárias pela exploração bem-sucedida de uma versão V8 executada na infraestrutura da Google. Isto visa complementar o VRP da Google, permitindo que os investigadores que procedem à identificação de vulnerabilidades no mecanismo JavaScript ganhem recompensas adicionais com o envio de explorações ao v8CTF. Os investigadores participantes podem também enviar explorações para vulnerabilidades V8 já conhecidas.

“Se o bug que levou à corrupção inicial da memória foi encontrado por si, ou seja, reportado a partir do mesmo endereço de email utilizado na submissão do v8CTF, nós iremos considerar a exploração uma submissão de zero-day. Todas as outras explorações são consideradas submissões de n-days”, explica a Google.

Os investigadores que identificaram uma nova vulnerabilidade são incentivados a reportá-la primeiro ao Chrome VRP e, de seguida, podem utilizar a exploração no v8CTF para exfiltrar a bandeira da infraestrutura da Google. 

Com a submissão de explorações válidas, estes profissionais de segurança são elegíveis para uma recompensa de 10 mil dólares. A empresa informa que “isto se soma a quaisquer recompensas existentes pelas próprias vulnerabilidades. Por exemplo, se encontrar uma vulnerabilidade no V8 e, de seguida, escrever uma exploração para esta, esta poderá ser elegível tanto para o Chrome VRP quanto para o v8CTF”.

Já o kvmCTF, que deverá ser lançado ainda este ano, recompensará os investigadores por explorações direcionadas a vulnerabilidades de zero-day e de one-day no KVM, o módulo de virtualização de código aberto no kernel Linux que permite que este funcione como um hypervisor.

Concentrado no kernel LTS, o evento oferecerá recompensação por ataques guest-to-host bem-sucedidos, não se aplicando, por enquanto, a explorações ou vulnerabilidades do QEMU.

As explorações que levem a uma VM escape total valerão uma recompensa de até 99 999 dólares. A Google recompensará também gravações e leituras arbitrárias de memória (34 999 dólares e 24 999 dólares, respetivamente) e explorações de DoS (14 999 dólares).

“Note que as recompensas acima não acumulam. Por exemplo, se submeter uma exploração de VM escape total que utiliza uma gravação de memória arbitrária, será compensado com a recompensa pelo VM escape (99 999 dólares) e não com duas recompensas separadas (99 999 dólares + 34 999 dólares)”, esclarece a Google.

Os investigadores de segurança com interesse em participar poderão ler as regras do v8CTF e do kvmCTF, explorar uma vulnerabilidade identificada para “capturar a bandeira” e submeter isto à Google.

A Google observa ainda que: “se tiver sucesso, não apenas ganhará uma recompensa, mas também nos ajudará a tornar os nossos produtos mais seguros para todos. Esta também é uma boa oportunidade para aprender sobre tecnologias e ganhar experiência prática em explorá-las”.