Programas de recompensa de bugs configurados por grandes corporações para recompensar e reconhecer os pesquisadores de segurança por relatar adequadamente novos bugs e vulnerabilidades de segurança é um ótimo conceito, mas na prática nem sempre são bem aproveitados.
O pesquisador de segurança Adam Zabrocki compartilhou recentemente os problemas que encontrou no tratamento de recompensas de bugs no Google para o Chrome OS e, por sua vez, para a Intel, por ter sido uma vulnerabilidade do driver gráfico do kernel Linux i915.Adam Zabrocki é o pesquisador de segurança que finalmente descobriu esta vulnerabilidade do driver gráfico do kernel Intel Linux “i915” que foi divulgado no início deste mês.
Um possível acesso à memória fora dos limites pode levar a uma escalação de privilégios para usuários locais. Ele descobriu o problema no ano passado, mas o enviou ao Google como parte de seu programa de recompensas por bugs do Chrome OS, já que os gráficos Intel são comumente usados ??com Chromebooks.
Programas de recompensas para bugs podem parecer ótimos, mas nem sempre são bem aproveitados
No final das contas, ele conseguiu o contorno do Google e da Intel enquanto estava no processo de trabalhar com a correção do driver do kernel i915 que não foi originalmente atribuída como relatando o bug.Zabrocki escreveu uma longa postagem no blog sobre os desafios de lidar com recompensas de bugs de sua experiência de trabalho com o Google e a Intel. É uma leitura longa, mas bastante intrigante e delineou uma área de manipulação de recompensas de bugs que eu não conhecia.
Entre as lições aprendidas que foram compartilhadas por Zabrocki:
Minha experiência com recompensas de bugs foi muito pior do que eu esperava. Especialmente a atitude do Google de ficar em silêncio para sempre até que as coisas dessem horrivelmente/obviamente errado. Então, eles tentaram colocar a responsabilidade por tudo na Intel e me convencer de que não era problema deles, mesmo embora o bug tenha sido relatado a eles e que eles estavam lidando com a comunicação muito bem (!). Como pesquisador, o que você pode fazer? Nada.
A Intel estragou tudo, mas eles tentaram ao máximo consertar o que erraram (e o que ainda era possível corrigir naquele ponto). Ao contrário da atitude do Google, a Intel não culpou ninguém e não tentou me convencer de que estava fazendo o melhor e não foi desdenhosa.Vale mencionar que a Intel se desculpou oficialmente pela forma como este caso foi tratado: “(…) Gostaríamos de nos desculpar pela forma como este caso foi conduzido. Entendemos que as idas e vindas conosco têm sido frustrantes e um longo processo. (…)“.
No entanto, nada disso aconteceu por parte do Google.Se esse bug foi realmente valioso do ponto de vista da exploração, parece que a melhor opção ainda é limpar os contatos do antigo corretor (se deixarmos as questões morais de lado). Eles nunca falharam tanto (pelo menos essa é a minha experiência), embora também não sejam ideais.Por falar nisso. Para ser justo, também existem exemplos positivos de programas de recompensas por bugs
Leia mais sobre a experiência de recompensa de bugs de Adam em seu blog.