Ang mga bug bounty program na na-setup ng malalaking korporasyon upang gantimpalaan at kilalanin ang mga mananaliksik sa seguridad para sa wastong pag-uulat ng mga bagong bug at mga kahinaan sa seguridad ay isang magandang konsepto, ngunit sa pagsasagawa ay hindi palaging pinangangasiwaan nang maayos. Ibinahagi kamakailan ng security researcher na si Adam Zabrocki ang mga problemang naranasan niya sa bug bounty handling sa Google para sa Chrome OS at para naman sa Intel na naging kahinaan ng driver ng graphics ng kernel ng Linux na i915.
Si Adam Zabrocki ay ang tagapagpananaliksik ng seguridad na sa huli ay natuklasan ang kahinaan ng driver ng graphics ng Intel Linux”i915″na kernel graphics driver na ginawang pampubliko noong unang bahagi ng buwang ito. Ang potensyal na out of bounds memory access ay maaaring humantong sa pagdami ng mga pribilehiyo para sa mga lokal na user. Natuklasan niya ang problema noong nakaraang taon ngunit pagkatapos ay isinumite ito sa Google bilang bahagi ng kanilang Chrome OS bug bounty program dahil ang Intel graphics ay karaniwang ginagamit sa mga Chromebook. Sa huli ay nakuha niya ang run-around mula sa Google at Intel habang nasa proseso ng paggawa ng j915 kernel driver fix ay hindi man lang orihinal na naiugnay bilang pag-uulat ng bug.
Nagsulat si Zabrocki ng mahabang post sa blog tungkol sa mga hamon sa pagharap sa mga bug bountie mula sa kanyang karanasan sa pagtatrabaho sa Google at Intel. Ito ay isang mahabang basahin ngunit medyo nakakaintriga at nakabalangkas sa isang lugar ng paghawak ng bug bounty na hindi ko alam.
Sa mga aral na natutunan na ibinahagi ni Zabrocki:
“Ang aking karanasan sa mga bug bountie ay mas masahol pa kaysa sa inaasahan ko. Lalo na ang saloobin ng Google sa pagiging tahimik magpakailanman hanggang sa mangyari ang mga bagay na kakila-kilabot/malinaw na mali. Pagkatapos, sinubukan nilang ilagay ang responsibilidad para sa lahat sa Intel at kumbinsihin ako na hindi nila ito problema kahit na ang bug ay naiulat sa kanila, at na pinangangasiwaan nila ang komunikasyon nang napakahusay(!). Bilang isang mananaliksik, ano ang magagawa mo? Wala.
Intel screwed up badly, but they tried best to fix what they messed-up (at kung ano ang posible pang ayusin sa puntong iyon). Taliwas sa saloobin ng Google, hindi sinisisi ng Intel ang sinuman, at hindi nila sinubukang kumbinsihin ako na ginagawa nila ang kanilang makakaya at hindi sila nagwawalang-bahala.
Nararapat na banggitin na opisyal na humingi ng paumanhin ang Intel para sa kung paano pinangangasiwaan ang kasong ito: “(…) Gusto naming humingi ng paumanhin para sa paraan ng kasong ito. nahawakan na. Naiintindihan namin na ang pabalik-balik sa amin ay nakakadismaya at isang mahabang proseso. (…)“. Gayunpaman, walang ganoong nangyari sa bahagi ng Google.
Kung talagang mahalaga ang bug na ito mula sa pananaw ng pagiging mapagsamantala, mukhang ang pinakamagandang opsyon pa rin ay alisin ang alikabok sa mga lumang contact ng broker (kung iiwan natin ang mga tanong tungkol sa moralidad). They never ever failed so much (at least that’s my experience), kahit hindi rin sila ideal.
Btw. Upang maging patas, mayroon ding mga positibong halimbawa ng mga programa ng bug bounty”
Magbasa nang higit pa tungkol sa karanasan ng bug bounty ni Adam sa kanyang blog.
