ชี้ช่องรวย ! Google ประกาศเงินรางวัลล่าบั๊กบน KVM รางวัลจุก ๆ สูงสุดกว่า 2 แสนเหรียญ !

ซอฟต์แวร์ และแอปพลิเคชันต่าง ๆ นั้นมีช่องโหว่เสมอ แต่การใช้ทีมงานหาเองอาจจะไม่ครอบคลุม เพราะบ่อยครั้งที่ช่องโหว่ต่าง ๆ มักจะถูกพบโดยผู้ใช้งาน และกลุ่มแฮกเกอร์ จึงได้นำมาสู่แคมเปญนี้

จากรายงานโดยเว็บไซต์ Dark Reading ทาง Google ที่อยู่ระหว่างการพัฒนา Kernel-based Virtual Machine (KVM) ซึ่งเป็นเครื่องมือจำลองการทำงานของระบบสำหรับใช้ในการทดสอบโดยนักพัฒนา ซึ่งเครื่องมือนี้ Google ได้พัฒนาสำหรับใช้งานบนระบบปฏิบัติการ Linux มาตั้งแต่ปี ค.ศ. 2007 (พ.ศ. 2550) และได้กำลังพัฒนาเวอร์ชันล่าสุดในปัจจุบัน เพื่อใช้งานกับระบบ Android และ Google Cloud ทำให้ทาง Google ต้องใส่ใจกับความปลอดภัยให้มากขึ้น นำมาสู่แคมเปญล่าช่องโหว่ กำจัดจุดอ่อน ให้ผู้เชี่ยวชาญได้มาร่วมกันทำงาน โดยมีรางวัลใหญ่ล่อใจ ภายใต้ชื่อโครงการ Vulnerability Reward Program (VRP)

ซึ่งสำหรับงานประกวดการล่ากำจัดจุดอ่อนนั้นได้ถูกประกาศมาตั้งแต่ช่วงตุลาคมปีที่ผ่านมา โดยงานในรอบนี้สำหรับตัวโครงการได้ถูกตั้งชื่อว่า "kvmCTF" ซึ่งได้เริ่มให้ผู้สนใจเข้าร่วมแล้วตั้งแต่วันที่ 27 มิถุนายน ค.ศ. 2024 (พ.ศ. 2567) ที่ผ่านมา โดยมีกติกาง่าย ๆ คือ ผู้สนใจเข้าร่วมต้องลงทะเบียนจองเวลา (ตามโซนเวลา UTC) แล้วเข้าใช้งาน VM ด้วยบัญชี Guest ที่ทำงานบน Bare Metal Host หลังจากนั้นให้ทำการโจมตีระบบในรูปแบบ Guest-to-Host Attack ซึ่งจุดประสงค์ในการจัดประกวดการแฮกหาจุดอ่อนดังกล่าวนั้น ทางทีมงานได้กล่าวว่า มีเป้าหมายในการค้นหาช่องโหว่ Zero-day ที่อยู่บนระบบเป็นหลัก

สำหรับรายชื่อรางวัลในการประกวดการแฮกนั้น ทาง Google ได้มีการให้รายละเอียดไว้ดังนี้

• Full VM escape: $250,000 (ประมาณ 9,100,000 บาท)
• Arbitrary memory write: $100,000 (ประมาณ 3,650,000 บาท)
• Arbitrary memory read: $50,000 (ประมาณ 1,820,000 บาท)
• Relative memory write: $50,000 (ประมาณ 1,820,000 บาท)
• Denial of service: $20,000 (ประมาณ 730,000 บาท)
• Relative memory read: $10,000 (ประมาณ 365,000 บาท)

โดยกฎกติกาทั้งหมด รวมถึงขั้นตอนในการปฏิบัติและข้อยกเว้นต่าง ๆ ผู้สนใจสามารถหาอ่านได้ github.com/google/security-research/blob/master/kvmctf/rules.md

งานนี้นักพัฒนา และแฮกเกอร์ชาวไทยก็สามารถเข้าร่วมได้  ขอให้โชคดีกับการแข่งขันในครั้งนี้นะ