Google zahlt Kopfgeld für Ausnutzen bereits geschlossener Lücken
Google startet ein dreimonatiges Bug-Bounty-Programm und zahlt 31.337 US-Dollar für erfolgreiches Ausnutzen bereits gepatchter Lücken im Linux-Kernel.
(Bild: Photon photo/Shutterstock.com)
Ungewöhnliche Herausforderung: Das erfolgreiche Ausnutzen bereits geschlossener Sicherheitslücken im Linux-Kernel ist Google in den kommenden drei Monaten eine Stange Geld wert. 31.337 US-Dollar möchte der Konzern den Hackern zahlen. Mit diesem Ansatz möchte Google offenbar die Qualität von Sicherheitspatches abklopfen.
Dazu müssen die Teilnehmer in einer gehärteten Kubernetes-Umgebung ihre Rechte auf Basis eigentlich gepatchter Lücken ausweiten oder gar aus der Container-Umgebung ausbrechen und Daten aus anderen Containern abgreifen. Google verlangt zum Nachweis des erfolgreichen Hacks, dass die Angreifer einen Speicherbereich auslesen und die darin liegenden, geheimen Daten übermitteln - spielerisch "Capture the Flag" genannt.
Das Unternehmen will den Betrag sogar auf 50.337 US-Dollar erhöhen, wenn die Hacker unbekannte Zero-Day-Lücken nutzen oder bislang unbekannte Angriffswege gehen; hier behält sich Google jedoch eine eigene Einschätzung des Neuigkeitsfaktors vor. Für Lücken, die auch Android betreffen, hat der Hersteller zudem zusätzliche weitere Mittel im Rahmen des Android Bughunter-Programms vorgesehen.
Geschützte Container
Kubernetes ist ein Container-Orchestrator, in dem Anwendungen respektive Dienste mitsamt ihrer Abhängigkeiten über Kernel-Techniken von anderen Anwendungen und vom gastgebenden Betriebssystem gekapselt werden, sodass sich die Container nicht gegenseitig beeinflussen. Kubernetes wurde von Google entwickelt, 2014 als Open-Source-Projekt veröffentlicht und bei der Cloud Native Computing Foundation (CNCF) gehostet. Seitdem hat es sich zum Industriestandard für Container-Verwaltung im großen Maßstab entwickelt.
Containerisierte Anwendungen lassen sich vergleichsweise einfach starten und auch auf andere Systeme verteilen. Da Google Kubernetes in seiner Google Cloud für Kunden bereitstellt, hat das Unternehmen großes Interesse daran, die Software möglichst sicher zu machen – wozu dieses Bug-Bounty-Programm sicherlich beitragen kann.
Siehe dazu auch:
(dmk)
