Expandiendo nuestro trabajo con la comunidad de seguridad de código abierto


En Google, siempre hemos creído en los beneficios y la importancia de utilizar tecnologías de código abierto para innovar. Disfrutamos ser parte de la comunidad y queremos retribuir de nuevas maneras. Como parte de este esfuerzo, nos complace anunciar una expansión de nuestro Programa de recompensas de vulnerabilidad de Google (VRP) para cubrir todas las dependencias críticas de código abierto de Motor de Google Kubernetes (GKE). Hemos diseñado esta expansión con el objetivo de incentivar a la comunidad de seguridad para que trabaje aún más estrechamente con proyectos de código abierto, apoyando a los mantenedores en cuyo trabajo todos confiamos.

El CNCF, en asociación con Google, recientemente Anunciado un programa de recompensas de errores para Kubernetes que paga hasta $ 10,000 por vulnerabilidades descubiertas dentro del proyecto. Y hoy, además de eso, estamos ampliando el alcance del programa Google VRP para incluir también errores de escalada de privilegios en un grupo de laboratorios GKE reforzado que hemos creado para este propósito. Esto cubrirá vulnerabilidades explotables en todas las dependencias que pueden conducir a un compromiso de nodo, como errores de escalada de privilegios en el kernel de Linux, así como en el hardware subyacente u otros componentes de nuestra infraestructura que podrían permitir la escalada de privilegios dentro de un clúster GKE.

Cómo funciona

Tenemos configurar un entorno de laboratorio en GKE basado en un proyecto de código abierto Seize-the-Flag (CTF) llamado Kubernetes kCTF. Los participantes deberán:

  • Salga de un entorno en contenedores que se ejecuta en un pod Kubernetes y,
  • Lea una de las dos banderas secretas: una bandera está en el mismo pod, y la otra está en otro pod Kubernetes en un espacio de nombres diferente.

Las banderas se cambiarán con frecuencia, y los participantes deben presentar la bandera secreta como prueba de explotación exitosa. El entorno del laboratorio no almacena ningún dato (como los comandos o archivos utilizados para explotarlo), por lo que los participantes necesitan las banderas para demostrar que pudieron comprometerlo.

Las recompensas funcionarán de la siguiente manera:

  • Los errores que afecten al entorno GKE de laboratorio que pueden conducir al robo de ambas banderas serán recompensados ​​con hasta 10,000 USD, pero revisaremos cada informe caso por caso. Cualquier vulnerabilidad está dentro del alcance, independientemente de dónde se encuentre: Linux, Kubernetes, kCTF, Google o cualquier otra dependencia. Las instrucciones sobre cómo enviar las banderas y los exploits están disponibles aquí.
  • Los errores que están 100% en el código de Google, califican para una recompensa adicional de Google VRP.
  • Los errores que están 100% en el código de Kubernetes, califican para una recompensa adicional de Kubernetes de CNCF.

Cualquier vulnerabilidad encontrada fuera de GKE (como Kubernetes o el kernel de Linux) se debe informar a los equipos de seguridad del proyecto aguas arriba correspondientes. Para que la expansión de este programa sea lo más eficiente posible para los encargados del mantenimiento, solo recompensaremos las vulnerabilidades que se demuestren como explotables robando una bandera. Si su exploit se basa en algo en Kubernetes, el Kernel de Linux o cualquier otra dependencia, primero debe informarlo allí, resolverlo y luego informarlo a Google. Vea las instrucciones aquí.

El entorno del laboratorio GKE está construido sobre una infraestructura CTF en la que acabamos de abrir GitHub. La infraestructura es nueva, y esperamos recibir comentarios de la comunidad antes de que pueda ser utilizada activamente en las competencias de CTF. Al incluir la infraestructura CTF en el alcance del VRP de Google, queremos incentivar a la comunidad para que nos ayude a asegurar no solo las competencias CTF que la usarán, sino también GKE y los ecosistemas más amplios de Kubernetes.

En marzo de 2020, anunciamos el ganador del primer premio VRP de Google Cloud System (GCP) y desde entonces hemos visto un mayor interés e investigación en Google Cloud. Con esta nueva iniciativa, esperamos brindar aún más conciencia a Google Cloud por parte de investigadores de seguridad experimentados, para que todos podamos trabajar juntos para asegurar nuestras bases de código abierto compartidas.



Enlace a la noticia original