Google จัดแข่งขันรายการ kvmCTF (Capture The Flag) ซึ่งเป็นการแข่งขันที่ให้รางวัลแก่ผู้ที่สามารถค้นพบช่องโหว่ได้ (Vulnerability Reward Program - VRP) โดยประกาศออกมาครั้งแรกในเดือนตุลาคม 2023 เพื่อปรับปรุงความปลอดภัยทางไซเบอร์ของ Kernel-based Virtual Machine (KVM) hypervisor โดยมีรางวัลมูลค่าสูงถึง $250,000 ดอลลาร์สำหรับช่องโหว่ที่สามารถใช้งานได้อย่างสมบูรณ์
KVM เป็น open-source hypervisor ที่ถูกพัฒนามานานกว่า 17 ปี ซึ่งได้ถูกใช้เป็นส่วนประกอบสำคัญในการตั้งค่าของระบบแอนดรอยด์ (Android) และ Google Cloud platforms ทั้งในฝั่งของผู้ใช้งานทั่วไป และภาคธุรกิจ
Google จัดรายการ kvmCTF เพื่อให้เป็นแพลตฟอร์มที่สามารถระบุ และแก้ไขช่องโหว่ที่มีบน KVM ซึ่งถือเป็นส่วนสำคัญอย่างยิ่งของระบบนี้
ซึงมีความคล้ายกันกับอีกโปรแกรมที่ให้รางวัลแก่การค้นพบช่องโหว่ ชื่อ kernelCTF ซึ่งมีเป้าหมายเป็นการหาช่องโหว่บน Linux kernel โดยมุ่งเน้นไปที่ช่องโหว่ที่สามารถเข้าถึงได้บน VM บน Kernel-based Virtual Machine (KVM) hypervisor
วัตถุประสงค์คือต้องทำการโจมตีแบบ guest-to-host ให้สำเร็จ โดยที่จะไม่มีการให้รางวัลแก่ช่องโหว่ที่เคยถูกค้นพบแล้วเช่น QEMU หรือ host-to-KVM
นักวิจัยด้านความปลอดภัยทางไซเบอร์ ที่สมัครเข้าโปรแกรมจะได้รับ Controlled lab environment สำหรับการทดสอบการโจมตีเพื่อหาช่องโหว่ต่าง ๆ แต่เฉพาะผู้ที่ค้นพบการโจมตีสำหรับช่องโหว่ zero-day เท่านั้นที่จะได้รับรางวัล
รางวัลระดับต่าง ๆ สำหรับการค้นพบช่องโหว่ของโปรแกรม kvmCTF มีดังนี้:
Full VM escape: $250,000
Arbitrary memory write: $100,000
Arbitrary memory read: $50,000
Relative memory write: $50,000
Denial of service: $20,000
Relative memory read: $10,000
โครงสร้างของ kvmCTF ถูกตั้งอยู่บน Google Bare Metal Solution (BMS) environment เพื่อแสดงให้เห็นถึงมาตรฐานด้านความปลอดภัยระดับสูง
วิศวกรซอฟท์แวร์ของ Google ชื่อ Marios Pomonis ได้ระบุเพิ่มเติมว่า “ผู้เข้าร่วมสามารถจองเวลาเพื่อเข้าถึง guest VM เพื่อทดสอบการโจมตี guest-to-host attack ได้ โดยที่จุดประสงค์ของการโจมตีจะต้องเป็นการใช้ช่องโหว่ zero day ในระบบ KVM subsystem บน host kernel เท่านั้น”
“และหากโจมตีสำเร็จ ผู้โจมตีจะได้รับ Flag เพื่อยืนยันถึงความสำเร็จในการโจมตีช่องโหว่นี้ โดยมีรางวัลที่แบ่งตามระดับของความรุนแรง ซึ่งอ้างอิงจากเกณฑ์การให้รางวัลตามที่ได้อธิบายไปในตอนต้น โดยที่รายงานทั้งหมดจะได้รับการประเมินอย่างละเอียด”
Google จะได้รับรายละเอียดของการค้นพบช่องโหว่ Zero-day ภายหลังจากการปรับปรุงจากผู้พัฒนาหลักแล้วเท่านั้น เพื่อให้ข้อมูลนี้ถูกเผยแพร่บนชุมชนของ open-source พร้อม ๆ กัน
ในการเริ่มต้น ผู้เข้าร่วมจะต้องศึกษา และทำความเข้าใจในกฏเกณฑ์ของโปรแกรม kvmCTF ซึ่งรวมไปถึงข้อมูลในการจองช่วงเวลาการเข้าถึง guest VM, การได้รับธงคำตอบต่าง ๆ (flags), ข้อยกเว้น ข้อห้ามในการสร้าง KASAN (Kernel Address Sanitizer) ต่าง ๆ ในการได้รับรางวัลของแต่ละระดับ, รวมถึงรายละเอียดคำแนะนำของขั้นตอนการนำเสนอรายงานช่องโหว่ที่พบ
ที่มา : bleepingcomputer