A nagyvállalatok által beállított hibaprogramok, amelyek jutalmazzák és elismerik a biztonsági kutatókat az új hibák és biztonsági rések megfelelő jelentéséért, nagyszerű ötlet, de a gyakorlatban nem mindig kezelik megfelelően. Adam Zabrocki biztonsági kutató nemrégiben megosztotta azokat a problémákat, amelyekkel a Google Chrome OS-hez, illetve az Intelnél a hibakezelés során találkozott, mivel az i915 Linux kernel grafikus illesztőprogramjának sebezhetősége volt.
Adam Zabrocki az a biztonsági kutató, aki végül felfedezte az Intel Linux”i915″kernel grafikus illesztőprogramjának ezt a sebezhetőségét, amelyet a hónap elején tettek közzé. A határokon kívüli memória-hozzáférés a helyi felhasználók jogosultságainak fokozásához vezethet. Tavaly fedezte fel a problémát, de aztán benyújtotta a Google-nak a Chrome OS hibajavító programjának részeként, mivel az Intel grafikát gyakran használják a Chromebookokkal. Végül a Google-tól és az Inteltől kapta meg a futást, miközben az i915-ös kernel-illesztőprogram-javítás kidolgozása során eredetileg még csak nem is a hiba bejelentésének tulajdonították.
Zabrocki hosszas blogbejegyzést írt a Google-lal és az Intellel végzett munka során szerzett tapasztalataiból a hibajavítások kezelésének kihívásairól. Ez egy hosszú olvasmány, de meglehetősen érdekfeszítő, és felvázolta a hibajavítások kezelésének egy olyan területét, amellyel nem voltam tisztában.
A Zabrocki által megosztott tanulságok között szerepel:
“A hibajavításokkal kapcsolatos tapasztalataim sokkal rosszabbak voltak, mint vártam. Főleg a Google hozzáállása, miszerint örökké hallgat, amíg a dolgok borzalmasan/nyilvánvalóan rosszra fordulnak. Aztán megpróbálták mindenért az Intelre hárítsa a felelősséget, és győzzön meg arról, hogy nem az ő problémájuk volt, bár a hibát jelezték nekik, és nagyon jól kezelik a kommunikációt(!). Kutatóként mit tehet? Semmit.
Az Intel csúnyán elrontotta, de igyekeztek a lehető legjobban kijavítani, amit elrontottak (és amit akkor még meg lehetett javítani). A Google hozzáállásával ellentétben az Intel nem hibáztatott senkit, és meg sem próbálták győzz meg arról, hogy mindent megtettek, és nem voltak elutasítóak.
Érdemes megemlíteni, hogy az Intel hivatalosan is bocsánatot kért az ügy kezeléséért: „(…) Szeretnénk elnézést kérni az ügyért. kezelték. Megértjük, hogy az oda-vissza velünk való kapcsolat frusztráló és hosszú folyamat. (…)“. A Google részéről azonban semmi ilyesmi nem történt.
Ha ez a hiba valóban értékes volt a kihasználhatóság szempontjából, úgy tűnik, továbbra is a legjobb megoldás a régi brókerkapcsolatok leporolása (ha az erkölcsi kérdéseket félretesszük). Soha nem buktak ennyit (legalábbis ez a tapasztalatom), pedig nem is ideálisak.
Btw. Az igazság kedvéért a hibajavító programokra is vannak pozitív példák”
További információ Adam bug bounty tapasztalatairól a blog.