I programmi di bug bounty impostati da grandi aziende per premiare e riconoscere i ricercatori di sicurezza per aver segnalato correttamente nuovi bug e vulnerabilità di sicurezza sono un ottimo concetto, ma in pratica non sono sempre gestiti bene. Il ricercatore di sicurezza Adam Zabrocki ha recentemente condiviso i problemi che ha riscontrato nella gestione dei bug bounty presso Google per Chrome OS e, a sua volta, per Intel, essendo stata una vulnerabilità del driver grafico del kernel Linux i915.
Adam Zabrocki è il ricercatore di sicurezza che alla fine ha scoperto questa vulnerabilità del driver grafico del kernel”i915″di Intel Linux che è stata resa pubblica all’inizio di questo mese. Un potenziale accesso alla memoria fuori dai limiti potrebbe portare a un’escalation dei privilegi per gli utenti locali. Ha scoperto il problema l’anno scorso, ma poi lo ha inviato a Google come parte del programma di ricompensa dei bug di Chrome OS poiché la grafica Intel è comunemente utilizzata con i Chromebook. Alla fine ha ottenuto il run-around da Google e Intel mentre nel processo di elaborazione della correzione del driver del kernel i915 non era nemmeno originariamente attribuito come segnalazione del bug.
Zabrocki ha scritto un lungo post sul blog sulle sfide nell’affrontare i bug bounty dalla sua esperienza di lavoro con Google e Intel. È una lettura lunga ma piuttosto intrigante e ha delineato un’area di gestione delle taglie di bug di cui non ero a conoscenza.
Tra le lezioni apprese che sono state condivise da Zabrocki:
“La mia esperienza con i bug bounty è stata molto peggiore di quanto mi aspettassi. Soprattutto l’atteggiamento di Google di rimanere in silenzio per sempre fino a quando le cose non sono andate orribilmente/ovviamente male. Poi, hanno cercato di addossare la responsabilità di tutto a Intel e convincermi che non era un loro problema anche se il bug era stato segnalato a loro e che stavano gestendo molto bene la comunicazione (!). Come ricercatore, cosa puoi fare? Niente.
Intel ha fatto un brutto pasticcio, ma ha fatto del suo meglio per sistemare ciò che aveva incasinato (e ciò che era ancora possibile risolvere a quel punto). Contrariamente all’atteggiamento di Google, Intel non ha incolpato nessuno e non ha provato a convincermi che stavano facendo del loro meglio e non sono stati sprezzanti.
Vale la pena ricordare che Intel si è ufficialmente scusata per come è stato gestito questo caso:”(…) Vorremmo scusarci per il modo in cui questo caso è stato maneggiato. Comprendiamo che avanti e indietro con noi è stato un processo lungo e frustrante. (…)“. Tuttavia, nulla del genere è accaduto da parte di Google.
Se questo bug è stato davvero prezioso dal punto di vista dell’exploitability, sembra che l’opzione migliore sia ancora quella di rispolverare i vecchi contatti del broker (se lasciamo da parte le questioni morali). Non hanno mai fallito così tanto (almeno questa è la mia esperienza), anche se non sono l’ideale.
A proposito. Per essere onesti, ci sono anche esempi positivi di programmi di bug bounty”
Leggi di più sull’esperienza di bug bounty di Adam sul suo blog.