Các chương trình tiền thưởng tìm lỗi do các tập đoàn lớn thiết lập để thưởng và công nhận các nhà nghiên cứu bảo mật vì đã báo cáo chính xác các lỗi mới và lỗ hổng bảo mật là một ý tưởng tuyệt vời, nhưng trên thực tế không phải lúc nào nó cũng được xử lý tốt. Nhà nghiên cứu bảo mật Adam Zabrocki gần đây đã chia sẻ những rắc rối mà anh ấy gặp phải trong quá trình xử lý tiền thưởng lỗi tại Google cho Chrome OS và đến lượt Intel với lỗ hổng trình điều khiển đồ họa nhân Linux i915.
Adam Zabrocki là nhà nghiên cứu bảo mật, người cuối cùng đã phát hiện ra lỗ hổng trình điều khiển đồ họa nhân”i915″Intel Linux này đã được công khai vào đầu tháng này. Khả năng truy cập bộ nhớ ngoài giới hạn có thể dẫn đến sự gia tăng các đặc quyền cho người dùng cục bộ. Anh ấy đã phát hiện ra sự cố vào năm ngoái nhưng sau đó đã gửi nó cho Google như một phần của chương trình tiền thưởng lỗi Chrome OS của họ vì đồ họa Intel thường được sử dụng với Chromebook. Cuối cùng, anh ấy đã nhận được sự phản đối từ Google và Intel trong khi đang trong quá trình tìm ra bản sửa lỗi trình điều khiển nhân i915 thậm chí ban đầu không được coi là báo cáo lỗi.
Zabrocki đã viết một bài blog dài về những thách thức trong việc xử lý tiền thưởng lỗi từ kinh nghiệm làm việc với Google và Intel. Đó là một bài đọc dài nhưng khá hấp dẫn và vạch ra một lĩnh vực xử lý tiền thưởng lỗi mà tôi không biết.
Trong số những bài học kinh nghiệm được Zabrocki chia sẻ:
“Trải nghiệm của tôi với tiền thưởng lỗi tồi tệ hơn nhiều so với tôi mong đợi. Đặc biệt là thái độ im lặng mãi mãi của Google cho đến khi mọi thứ trở nên sai lầm khủng khiếp/rõ ràng. Sau đó, họ đã cố gắng đổ mọi trách nhiệm cho Intel và thuyết phục tôi rằng đó không phải là vấn đề của họ mặc dù lỗi đã được báo cáo cho họ và rằng họ đang xử lý thông tin liên lạc rất tốt (!). Là một nhà nghiên cứu, bạn có thể làm gì?
Intel đã làm hỏng việc một cách tồi tệ, nhưng họ đã cố gắng hết sức để sửa chữa những gì họ mắc phải (và những gì vẫn có thể sửa chữa vào thời điểm đó). Trái ngược với thái độ của Google, Intel không đổ lỗi cho bất kỳ ai và họ cũng không cố gắng thuyết phục tôi rằng họ đã làm hết sức mình và họ không bác bỏ.
Điều đáng nói là Intel đã chính thức xin lỗi về cách xử lý trường hợp này: “(…) Chúng tôi muốn xin lỗi về cách xử lý trường hợp này đã được xử lý. Chúng tôi hiểu việc qua lại với chúng tôi đã rất khó khăn và là một quá trình lâu dài. (…)“. Tuy nhiên, không có điều gì tương tự xảy ra với Google.
Nếu lỗi này thực sự có giá trị từ góc độ khả năng khai thác, thì có vẻ như lựa chọn tốt nhất vẫn là loại bỏ các liên hệ môi giới cũ (nếu chúng ta bỏ qua các câu hỏi đạo đức). Họ chưa bao giờ thất bại nhiều như vậy (ít nhất đó là kinh nghiệm của tôi), mặc dù họ cũng không lý tưởng bằng.
Được rồi. Công bằng mà nói, cũng có những ví dụ tích cực về chương trình tiền thưởng lỗi”
Đọc thêm về trải nghiệm tiền thưởng lỗi của Adam trên blog.
