Programas de recompensa de bugs configurados por grandes corporações para recompensar e reconhecer os pesquisadores de segurança por relatar adequadamente novos bugs e vulnerabilidades de segurança é um ótimo conceito, mas na prática nem sempre é bem tratado. O pesquisador de segurança Adam Zabrocki compartilhou recentemente os problemas que encontrou no tratamento de recompensas de bugs no Google para o Chrome OS e, por sua vez, para a Intel, por ter sido uma vulnerabilidade do driver gráfico do kernel Linux i915.

Adam Zabrocki é o pesquisador de segurança que finalmente descobriu esta vulnerabilidade do driver gráfico do kernel”i915″do Intel Linux que se tornou pública no início deste mês. Um possível acesso à memória fora dos limites pode levar a uma escalação de privilégios para usuários locais. Ele descobriu o problema no ano passado, mas o enviou ao Google como parte de seu programa de recompensas por bugs do Chrome OS, já que os gráficos Intel são comumente usados ​​com Chromebooks. No final das contas, ele conseguiu o contorno do Google e da Intel enquanto estava no processo de trabalhar com a correção do driver do kernel i915 que não foi originalmente atribuída como relatando o bug.

Zabrocki escreveu uma longa postagem no blog sobre os desafios de lidar com recompensas de bugs de sua experiência de trabalho com o Google e a Intel. É uma leitura longa, mas bastante intrigante e delineou uma área de manipulação de recompensas de bugs que eu não conhecia.


Entre as lições aprendidas que foram compartilhadas por Zabrocki:

“Minha experiência com recompensas de bugs foi muito pior do que eu esperava. coloque a responsabilidade de tudo na Intel e me convença de que não era problema deles, embora o bug tenha sido relatado a eles, e que eles estavam lidando muito bem com a comunicação (!). Como pesquisador, o que você pode fazer? Nada.

A Intel estragou tudo, mas eles tentaram ao máximo consertar o que erraram (e o que ainda era possível consertar naquele ponto). Ao contrário da atitude do Google, a Intel não culpou ninguém e não tentou me convenceram de que eles estavam fazendo o possível e não foram desdenhosos.

Vale a pena mencionar que a Intel se desculpou oficialmente pela forma como este caso foi tratado: “(…) Gostaríamos de pedir desculpas pela forma como este caso foi foi tratado. Entendemos que as idas e vindas conosco têm sido frustrantes e um longo processo. (…)“. No entanto, nada disso aconteceu por parte do Google.

Se esse bug foi realmente valioso do ponto de vista da exploração, parece que a melhor opção ainda é limpar os contatos do antigo corretor (se deixarmos as questões morais de lado). Eles nunca falharam tanto (pelo menos essa é a minha experiência), embora também não sejam ideais.

A propósito. Para ser justo, também existem exemplos positivos de programas de recompensas por bugs”

Leia mais sobre a experiência de recompensas por bugs de Adam em seu blog.

Categories: IT Info