Suurten yritysten perustamat bugipalkkio-ohjelmat palkitsemaan ja tunnustamaan tietoturvatutkijat uusista vioista ja tietoturva-aukoista asianmukaisesta raportoinnista on hieno konsepti, mutta käytännössä sitä ei aina käsitellä hyvin. Tietoturvatutkija Adam Zabrocki kertoi äskettäin ongelmista, joita hän kohtasi Googlen Chrome-käyttöjärjestelmän ja vuorostaan Intelin virhepalkkioiden käsittelyssä, koska se oli i915 Linux-ytimen grafiikkaohjaimen haavoittuvuus.
Adam Zabrocki on tietoturvatutkija, joka lopulta löysi tämän Intel Linux”i915″-ytimen grafiikkaohjaimen haavoittuvuuden, joka julkistettiin aiemmin tässä kuussa. Mahdollinen rajojen ulkopuolinen muistin käyttö voi johtaa paikallisten käyttäjien oikeuksien eskaloitumiseen. Hän havaitsi ongelman viime vuonna, mutta lähetti sen sitten Googlelle osana heidän Chrome-käyttöjärjestelmän virhepalkkioohjelmaa, koska Intel-grafiikkaa käytetään yleisesti Chromebookien kanssa. Lopulta hän sai kierroksen Googlelta ja Inteliltä, kun i915-ytimen ajurin korjausta ei alunperin pidetty virheen ilmoittamisena.
Zabrocki kirjoitti pitkän blogikirjoituksen haasteista, jotka liittyvät virhepalkkioiden käsittelyyn Googlen ja Intelin kanssa työskentelyn aikana. Se on pitkä luku, mutta varsin kiehtova ja hahmotteli virheiden käsittelyn alueen, josta en ollut tietoinen.
Zabrockin jakamien opetusten joukossa:
“Kokemukseni bugipalkkioista oli paljon huonompi kuin odotin. Erityisesti Googlen asenne olla hiljaa ikuisesti, kunnes asiat menivät kauheasti/ilmeisesti pieleen. Sitten he yrittivät laita vastuu kaikesta Intelille ja vakuuta minut, että se ei ollut heidän ongelmansa, vaikka heille ilmoitettiin bugista ja että he hoitivat viestintää erittäin hyvin(!). Mitä sinä voit tutkijana tehdä? Ei mitään.
Intel meni pahasti, mutta he yrittivät parhaansa mukaan korjata sen, minkä he sotsivat (ja mikä oli vielä mahdollista korjata siinä vaiheessa). Vastoin Googlen asennetta Intel ei syyttänyt ketään, eivätkä he yrittäneet vakuuta minut siitä, että he tekivät parhaansa eivätkä olleet vähätteleviä.
On syytä mainita, että Intel pyysi virallisesti anteeksi tapausta, jolla tämä tapaus käsiteltiin:”(…) Haluamme pyytää anteeksi tapaa, jolla tämä tapaus on käsitelty. Ymmärrämme, että meidän edestakaisin tapahtuva prosessi on ollut turhauttavaa ja pitkä prosessi. (…)”. Mitään sellaista ei kuitenkaan tapahtunut Googlen puolelta.
Jos tämä bugi oli hyödynnettävyyden kannalta todella arvokas, näyttää siltä, että edelleen paras vaihtoehto on pyyhkiä vanhat välittäjäkontaktit (jos jätämme moraaliset kysymykset sivuun). He eivät koskaan epäonnistuneet niin paljon (ainakin tämä on minun kokemukseni), vaikka ne eivät myöskään ole ihanteellisia.
Btw. Ollakseni rehellinen, löytyy myös myönteisiä esimerkkejä bug bounty-ohjelmista”
Lue lisää Adamin bug bounty-kokemuksesta hänen blogi.
