Pengaturan program hadiah bug oleh perusahaan besar untuk memberi penghargaan dan mengenali peneliti keamanan karena melaporkan bug baru dan kerentanan keamanan dengan benar adalah konsep yang bagus, tetapi dalam praktiknya tidak selalu ditangani dengan baik. Peneliti keamanan Adam Zabrocki baru-baru ini berbagi masalah yang dia temui dalam penanganan bug bounty di Google untuk Chrome OS dan pada gilirannya untuk Intel dengan kerentanan driver grafis kernel Linux i915.
Adam Zabrocki adalah peneliti keamanan yang akhirnya menemukan kerentanan driver grafis kernel Intel Linux”i915″yang dipublikasikan awal bulan ini. Potensi akses memori di luar batas dapat menyebabkan peningkatan hak istimewa bagi pengguna lokal. Dia menemukan masalah tahun lalu tetapi kemudian mengirimkannya ke Google sebagai bagian dari program hadiah bug Chrome OS mereka karena grafik Intel biasanya digunakan dengan Chromebook. Dia akhirnya mendapatkan run-around dari Google dan Intel sementara dalam proses mengerjakan perbaikan driver kernel i915 bahkan awalnya tidak dikaitkan sebagai pelaporan bug.
Zabrocki menulis entri blog yang panjang tentang tantangan dalam menangani karunia bug dari pengalamannya bekerja dengan Google dan Intel. Ini sudah lama dibaca tetapi cukup menarik dan menguraikan area penanganan karunia bug yang tidak saya sadari.
Di antara pelajaran yang dibagikan oleh Zabrocki:
“Pengalaman saya dengan bug bounty jauh lebih buruk dari yang saya harapkan. Terutama sikap diam Google selamanya sampai semuanya berjalan sangat buruk/jelas salah. Kemudian, mereka mencoba untuk meletakkan tanggung jawab untuk semuanya pada Intel dan meyakinkan saya bahwa itu bukan masalah mereka meskipun bug dilaporkan kepada mereka, dan bahwa mereka menangani komunikasi dengan sangat baik(!). Sebagai seorang peneliti, apa yang dapat Anda lakukan? Tidak ada.
Intel sangat kacau, tetapi mereka mencoba yang terbaik untuk memperbaiki apa yang mereka kacaukan (dan apa yang masih mungkin untuk diperbaiki pada saat itu) Bertentangan dengan sikap Google, Intel tidak menyalahkan siapa pun, dan mereka tidak mencoba untuk meyakinkan saya bahwa mereka melakukan yang terbaik dan mereka tidak meremehkan.
Perlu disebutkan bahwa Intel secara resmi meminta maaf atas cara penanganan kasus ini: “(…) Kami ingin meminta maaf atas cara kasus ini telah ditangani. Kami memahami bolak-balik dengan kami telah membuat frustrasi dan proses yang panjang. (…)“. Namun, hal seperti itu tidak terjadi di pihak Google.
Jika bug ini benar-benar berharga dari perspektif kemampuan untuk dieksploitasi, sepertinya pilihan terbaik adalah membersihkan kontak broker lama (jika kita mengesampingkan pertanyaan moral). Mereka tidak pernah gagal sebanyak itu (setidaknya itu pengalaman saya), meskipun mereka juga tidak ideal.
Btw. Agar adil, ada juga contoh positif program hadiah bug”
Baca lebih lanjut tentang pengalaman hadiah bug Adam di blog.
