新しいバグやセキュリティの脆弱性を適切に報告したセキュリティ研究者に報酬を与え、表彰するために大企業が設定したバグ報奨金プログラムは素晴らしい概念ですが、実際には常に適切に処理されているわけではありません。セキュリティ研究者の Adam Zabrocki 氏は最近、Google での Chrome OS のバグ報奨金処理で遭遇した問題、さらには Intel の i915 Linux カーネル グラフィックス ドライバの脆弱性に関する問題について共有しました。
Adam Zabrocki は、今月初めに公開されたこの Intel Linux”i915″カーネル グラフィックス ドライバーの脆弱性を最終的に発見したセキュリティ研究者です。潜在的な範囲外のメモリ アクセスにより、ローカル ユーザーの権限が昇格される可能性があります。彼は昨年この問題を発見しましたが、Chromebook では Intel グラフィックスが一般的に使用されているため、Chrome OS バグ報奨金プログラムの一環としてこの問題を Google に提出しました。最終的に彼は、i915 カーネル ドライバの修正を検討する過程で、Google と Intel から回避策をもらいましたが、当初はバグの報告としてさえ認識されていませんでした。
Zabrocki は、Google と Intel で働いた経験から、バグ報奨金に対処する際の課題について長いブログ投稿を書きました。読むのに時間がかかりましたが、非常に興味深く、私が知らなかったバグ報奨金処理の領域について概要が説明されていました。
Zabrocki が共有した教訓の中で、
「バグ報奨金に関する私の経験は、予想よりもはるかに悪かった。特に、物事がひどく/明らかに間違った方向に進むまで永久に沈黙するという Google の態度。その後、彼らは次のことを試みた。すべての責任をインテルに負わせ、たとえバグがインテルに報告されたとしても、それは彼らの問題ではなく、彼らはコミュニケーションを非常にうまく処理していた(!)と私を説得してくれました。研究者として、あなたに何ができるでしょうか?何もありません。
Intel はひどい失敗をしましたが、失敗したもの (そしてその時点でまだ修正できたもの) を修正するために最善を尽くしました。Google の態度に反して、Intel は誰も責めませんでしたし、責任を負おうともしませんでした。彼らは最善を尽くしており、否定的ではなかったと私に納得させてください。
インテルがこの件の処理方法について公式に謝罪したことは言及する価値があります。「(…) この件の対応についてお詫び申し上げます。」扱われてきました。私たちは、私たちとのやり取りがイライラするものであり、長いプロセスであることを理解しています。 (…)」。ただし、Google 側ではそのようなことは何も起こりませんでした。
このバグが悪用可能性の観点から本当に価値があるのであれば、(道徳的な問題を脇に置いたとしても) 古いブローカーの連絡先を取り除くことが最善の選択肢であるように思えます。たとえ理想的ではなかったとしても、これほど失敗したことはありません(少なくとも私の経験です)。
ところで。公平を期すために、バグ報奨金プログラムの肯定的な例もあります。」
Adam のバグ報奨金の経験について詳しくは、ブログ。