Google新一波kCTF計畫，懸賞能擊敗漏洞緩解工具的白帽駭客

Google上周宣布最新kCTF計畫，提供Linux漏洞的緩解工具，另一方面也透過抓漏獎勵計畫，大幅提高突破這些緩解工具的研究人員獎金。

2020年Google首次推出kCTF（Kubernetes-based Capture-the-Flag）專案。其下漏洞獎勵方案讓研究人員連到Google GKE上尋找漏洞。研究人員找到漏洞後標示出來，經認可後能獲得獎金。

而在今年，Google推出最新kCTF計畫。首先，今年初Google加碼kCTF獎勵Linux抓漏的承諾仍然會持續進行，找到Linux核心漏洞的研究人員可獲得20,000到91,337美元不等的獎金。而在此之外，Google上周又宣布Linux核心的新獎勵措施。

Google根據去年kCTF發現到的安全漏洞及開採程式，發展出實驗性緩解工具，Google相信能讓Linux核心更難被駭。Google將公開這些正在測試中的工具，並提供懸賞獎金。凡是能找到最新Linux核心的漏洞，研究人員會額外支付2.1萬美元，而如果能在安裝最新緩解工具的特製Linux核心找到新的漏洞，研究人員還可再獲得2.1萬美元（前提是能突破Google的緩解工具）。這麼一來，最高獎金最高可以來到133,337美元。

Google希望可以藉此評估其緩解工具究竟能耐如何。目前Google發展出的緩解工具是為了解決slab界外寫入（out-of-bounds write）、跨快取（Cross Cache）攻擊、Freelist毁損、Elastic物件的攻擊。他們希望長期下來，可以製作出盡可能提高Linux核心漏洞攻擊難度的緩解工具。