Microsoft під шквалом критики за погрози кримінальним розслідуванням досліднику з безпеки
Microsoft опублікувала допис у блозі, в якому розкритикувала дослідника, який використовує псевдонім «Nightmare Eclipse», за публічне розкриття низки помилок, зокрема BlueHammer , RedSun , UnDefend та YellowKey . Недоліки торкнулися таких продуктів, як вбудований антивірусний механізм Windows Defender та інструмент шифрування дисків BitLocker.
Суть скарг Microsoft полягає в тому, що дослідник не намагався повідомити про помилки, щоб компанія могла їх виправити. Це було б «відповідально», як зазначено в блозі Microsoft. Інший бік аргументу компанії полягає в тому, що, опублікувавши деталі помилок та способи їх використання до того, як вони були виправлені, Nightmare Eclipse могла допомогти зловмисним хакерам. Деякі з вразливостей, розкритих Nightmare Eclipse, згодом використовувалися хакерами в реальних атаках, за даними Microsoft, а також американського агентства з кібербезпеки CISA.
«Наш відділ цифрових злочинів продовжуватиме порушувати справи проти цих осіб та тих, хто сприяє їхній злочинній діяльності, за потреби координуючи свої дії з правоохоронними органами по всьому світу», – написала Microsoft. (Згідно з інформацією на вебсайті відділу цифрових злочинів Microsoft, його місія полягає у захисті компанії за допомогою різних стратегій, включаючи «цивільні судові позови, технічні контрзаходи, кримінальні перенаправлення та державно-приватні партнерства» ).
У серії блогів, опублікованих за останні кілька тижнів — без надання багатьох конкретних подробиць — Nightmare Eclipse стверджувала, що контактувала з Microsoft, але компанія нібито жорстоко з ними поводилася, зокрема скасувала доступ до їхнього облікового запису Microsoft Security Response Center, порталу, де дослідники можуть повідомляти про вразливості технологічному гіганту. Nightmare Eclipse мала на увазі, що у них не було іншого вибору, окрім як оприлюднити вразливості, що по суті означало, що на той момент вони були нуль-днями — специфічний термін для позначення недоліків безпеки, які невідомі виробнику програмного забезпечення, на який вони поширюються, на момент їх розкриття або використання.
Дослідники опублікували помилки у репозиторіях з відкритим кодом GitHub (належить Microsoft) та GitLab . Облікові записи дослідників на цих платформах були заблоковані.
Nightmare Eclipse та Microsoft не відповіли на запит про коментар.
Ветерани кібербезпеки попереджають про негативний вплив
Ця публічна суперечка повертає до давніх і досі дещо суперечливих дебатів: чи зобов'язані незалежні дослідники безпеки забезпечити виправлення виявлених ними вразливостей? І наскільки далеко вони повинні зайти, щоб компанії, чиї продукти є вразливими, справді їх виправили?
Одна з частин цієї дискусії, яка повністю вирішена та широко визнана, полягає в тому, що дослідники заслуговують на оплату своєї роботи. Хоча це може здатися очевидним у наші дні, це зайняло роки боротьби, частково зафіксованої під час кампанії, розпочатої у 2009 році під назвою « Геть безкоштовні помилки ». Майже 20 років потому більшість малих і великих компаній виплачують фінансову винагороду за помилки («bug bounty»), яка сьогодні може сягати шестизначних сум і більше дослідникам, які приватно розкривають помилки та координують публікацію своєї інформації після виправлення помилок.
У відповідь на цю останню суперечку щодо Nightmare Eclipse, незліченна кількість дослідників поділилися своїм невдалим досвідом повідомлення про помилки в Microsoft. Справедливості заради можна сказати, що значна частина спільноти кібербезпеки голосно незадоволена тим, як Microsoft вирішує цю проблему. Це стосується ветеранів кібербезпеки, таких як засновниця Luta Security Кеті Муссуріс, яка, працюючи в Microsoft у середині-кінці 2000-х років, була піонеркою в галузі винагород за виявлені помилки та переконала технологічного гіганта відмовитися від концепції «відповідального розкриття інформації», сформулювавши цей процес як « скоординоване розкриття інформації ».
«Застосування терміну «відповідальне» розкриття інформації було першим недоліком у моїй книзі», – сказав Муссуріс TechCrunch, посилаючись на допис у блозі Microsoft. «Додавання загрози судового переслідування шляхом згадки [Підрозділу цифрових злочинів] було надмірним і лише призведе до того, що дослідники безпеки почнуть недовіряти Microsoft».
Муссуріс попередив, що наслідки втрати довіри дослідників безпеки до Microsoft можуть призвести до негативного ефекту, коли менше людей повідомлятимуть про помилки, «що зробить ситуацію менш безпечною для всіх нас».
Дослідник безпеки та колишній співробітник Microsoft Кевін Бомонт також розкритикував Microsoft у своєму блозі , назвавши позицію компанії «пожежею, створеною нею ж».
«Створення та розповсюдження експлойтів для підтвердження концепції для нульових днів тепер є «злочинною діяльністю»?» — написав Бомонт. «Відповідальне розкриття інформації досить часто формулюється для захисту власника продукту, а не клієнта — використання його для спроби кримінального переслідування людей — це новий рівень низькості».