Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
.png)
Con Google v8CTF si possono guadagnare sino a 180.000€
Google ha dato il via a una nuova competizione denominata #v8CTF, che si concentra sul motore #JavaScript V8 del proprio browser Chrome. La sfida, inaugurata il 6 ottobre 2023, è aperta a tutti coloro che sono capaci di creare #exploit. Gli ingegneri di Google, Stephen Roettger e Marios Pomonis, hanno sottolineato che una volta trovata e sfruttata una #vulnerabilità nella versione in uso, i partecipanti possono catturare la bandiera.
I concorrenti possono scegliere di sfruttare vulnerabilità già conosciute (#n-days) o individuarne di inedite (#zero-days o #0-days). Google richiede che tali exploit siano affidabili, con un tempo di esecuzione non superiore a cinque minuti e una probabilità di successo dell'80%.
Google ha precisato che se un partecipante identifica un #bug e lo segnala con la stessa email con cui partecipa al #v8CTF, l'exploit sarà classificato come #0-day. Altrimenti, verrà considerato come #n-day. Gli exploit validi saranno premiati con $10.000. Questa sfida arricchisce l'offerta del Chrome Vulnerability Reward Program (#VRP) di Google, con premi extra fino a $180.000 per la scoperta di vulnerabilità #zero-day.
Altre iniziative di Google
Google ha anche annunciato #kvmCTF, una competizione legata alla macchina virtuale basata su kernel (#KVM) del suo servizio cloud. Questa sfida, prevista per i prossimi mesi, richiederà ai partecipanti di realizzare un attacco da guest a host utilizzando exploit #0-day e #1-day. I premi previsti sono:
- $99,999 per evadere completamente la #VM.
- $34,999 per exploit di scrittura nella memoria.
- $24,999 per exploit di lettura nella memoria.
- $14,999 per exploit che causa la negazione del servizio all'host (#DoS).
Google spinge i ricercatori a condividere le loro scoperte, facilitando così la crescita condivisa della comunità di #sicurezza.
Come partecipare al Chrome V8?
Se si utilizza un exploit basato su una vulnerabilità #0-day, è necessario segnalarlo al Chrome #VRP. È fondamentale controllare se l'exploit è già stato presentato per la versione V8 attuale. Dopo aver utilizzato l'exploit, i partecipanti devono creare un archivio .tar.gz dell'exploit e fornire il suo valore #sha256. Si deve poi completare un modulo fornendo queste informazioni. Google, dopo aver ricevuto l'exploit, impiegherà alcuni giorni per la sua verifica.