Programas de recompensa de bugs configurados por grandes corporações para recompensar e reconhecer os pesquisadores de segurança por relatar adequadamente novos bugs e vulnerabilidades de segurança é um ótimo conceito, mas na prática nem sempre é bem tratado. O pesquisador de segurança Adam Zabrocki compartilhou recentemente os problemas que encontrou no tratamento de recompensas de bugs no Google para o Chrome OS e, por sua vez, para a Intel, por ter sido uma vulnerabilidade do driver gráfico do kernel Linux i915.
Adam Zabrocki é o pesquisador de segurança que finalmente descobriu esta vulnerabilidade do driver gráfico do kernel”i915″do Intel Linux que se tornou pública no início deste mês. Um possível acesso à memória fora dos limites pode levar a uma escalação de privilégios para usuários locais. Ele descobriu o problema no ano passado, mas o enviou ao Google como parte de seu programa de recompensas por bugs do Chrome OS, já que os gráficos Intel são comumente usados com Chromebooks. No final das contas, ele conseguiu o contorno do Google e da Intel enquanto estava no processo de trabalhar com a correção do driver do kernel i915 que não foi originalmente atribuída como relatando o bug.
Zabrocki escreveu uma longa postagem no blog sobre os desafios de lidar com recompensas de bugs de sua experiência de trabalho com o Google e a Intel. É uma leitura longa, mas bastante intrigante e delineou uma área de manipulação de recompensas de bugs que eu não conhecia.
Entre as lições aprendidas que foram compartilhadas por Zabrocki:
“Minha experiência com recompensas de bugs foi muito pior do que eu esperava. coloque a responsabilidade de tudo na Intel e me convença de que não era problema deles, embora o bug tenha sido relatado a eles, e que eles estavam lidando muito bem com a comunicação (!). Como pesquisador, o que você pode fazer? Nada.
A Intel estragou tudo, mas eles tentaram ao máximo consertar o que erraram (e o que ainda era possível consertar naquele ponto). Ao contrário da atitude do Google, a Intel não culpou ninguém e não tentou me convenceram de que eles estavam fazendo o possível e não foram desdenhosos.
Vale a pena mencionar que a Intel se desculpou oficialmente pela forma como este caso foi tratado: “(…) Gostaríamos de pedir desculpas pela forma como este caso foi foi tratado. Entendemos que as idas e vindas conosco têm sido frustrantes e um longo processo. (…)“. No entanto, nada disso aconteceu por parte do Google.
Se esse bug foi realmente valioso do ponto de vista da exploração, parece que a melhor opção ainda é limpar os contatos do antigo corretor (se deixarmos as questões morais de lado). Eles nunca falharam tanto (pelo menos essa é a minha experiência), embora também não sejam ideais.
A propósito. Para ser justo, também existem exemplos positivos de programas de recompensas por bugs”
Leia mais sobre a experiência de recompensas por bugs de Adam em seu blog.