Bug-Bounty-Programme, die von großen Unternehmen eingerichtet werden, um Sicherheitsforscher für die ordnungsgemäße Meldung neuer Fehler und Sicherheitslücken zu belohnen und anzuerkennen, sind ein tolles Konzept, werden aber in der Praxis nicht immer gut umgesetzt. Der Sicherheitsforscher Adam Zabrocki teilte kürzlich die Probleme mit, die er bei der Bug-Bounty-Abwicklung bei Google für Chrome OS und wiederum bei Intel hatte, da es sich dabei um eine Schwachstelle im i915-Linux-Kernel-Grafiktreiber handelte.
Adam Zabrocki ist der Sicherheitsforscher, der letztendlich diese Sicherheitslücke im Intel Linux „i915“-Kernel-Grafiktreiber entdeckt hat, die Anfang dieses Monats veröffentlicht wurde. Ein potenziell außerhalb der Grenzen liegender Speicherzugriff könnte zu einer Eskalation der Berechtigungen für lokale Benutzer führen. Er entdeckte das Problem letztes Jahr, meldete es dann aber im Rahmen des Chrome OS-Bug-Bounty-Programms an Google, da bei Chromebooks häufig Intel-Grafiken verwendet werden. Letztendlich wurde er von Google und Intel umgangen, während er bei der Ausarbeitung des i915-Kernel-Treiber-Fixes ursprünglich nicht einmal als Fehlermelder eingestuft wurde.
Zabrocki schrieb einen ausführlichen Blogbeitrag über die Herausforderungen im Umgang mit Bug Bounties aus seiner Erfahrung bei der Zusammenarbeit mit Google und Intel. Es ist eine lange Lektüre, aber ziemlich faszinierend und beschreibt einen Bereich der Bug-Bounty-Behandlung, der mir nicht bekannt war.
Zu den gewonnenen Erkenntnissen, die Zabrocki mitteilte:
„Meine Erfahrung mit Bug Bounties war viel schlimmer, als ich erwartet hatte. Besonders Googles Einstellung, immer zu schweigen, bis die Dinge schrecklich/offensichtlich schief gingen. Dann haben sie es versucht.“ Geben Sie Intel die Verantwortung für alles und überzeugen Sie mich davon, dass es nicht ihr Problem war, obwohl ihnen der Fehler gemeldet wurde, und dass sie die Kommunikation sehr gut (!) gehandhabt haben. Was kann man als Forscher tun? Nichts.
Intel hat große Fehler gemacht, aber sie haben ihr Bestes getan, um das zu beheben, was sie vermasselt haben (und was zu diesem Zeitpunkt noch zu beheben war). Im Gegensatz zu Googles Haltung gab Intel niemandem die Schuld und versuchte es auch nicht überzeugen Sie mich davon, dass sie ihr Bestes gegeben haben und nicht abweisend waren.
Es ist erwähnenswert, dass Intel sich offiziell für die Art und Weise entschuldigt hat, wie mit diesem Fall umgegangen wurde: „(…) Wir möchten uns für die Art und Weise entschuldigen, wie dieser Fall behandelt wurde wurde abgewickelt. Wir verstehen, dass das Hin und Her mit uns frustrierend und ein langer Prozess war. (…)“. Allerdings ist seitens Google nichts dergleichen passiert.
Wenn dieser Fehler aus Sicht der Ausnutzbarkeit wirklich wertvoll war, scheint es immer noch die beste Option zu sein, die alten Broker-Kontakte zu entfernen (wenn wir die moralischen Fragen außer Acht lassen). Sie haben noch nie so sehr versagt (zumindest ist das meine Erfahrung), obwohl sie auch nicht ideal sind.
Übrigens. Fairerweise muss man sagen, dass es auch positive Beispiele für Bug-Bounty-Programme gibt.“
Lesen Sie mehr über Adams Bug-Bounty-Erfahrung auf seinem Blog.
