Конфлікт навколо уразливостей у продуктах Microsoft загострився після того, як один із дослідників безпеки опублікував серію багів, не усунених компанією. Microsoft погрожує юридичними діями, що сприяє новій дискусії про етику відповідального розкриття уразливостей цими дослідниками.
Нещодавно Microsoft опублікувала огляд, в якому розкритикувала дослідника з нікнеймом «Nightmare Eclipse» за те, що він зробив публічне розкриття багів, таких як BlueHammer, RedSun, UnDefend і YellowKey. Ці вразливості вплинули на такі продукти, як вбудований антивірус Windows Defender і інструмент шифрування дисків BitLocker.
Основна претензія Microsoft полягає в тому, що дослідник не спробував спочатку повідомити про ці баги для їх усунення. На думку компанії, саме це було б «відповідальним». З іншого боку,Microsoft вказала на те, що публікація подробиць і методів експлуатації ще до патчування може сприяти атакам зловмисників. За інформацією компанії та американського агентства кібербезпеки CISA, деякі з виявлених уразливостей вже були використані у реальних атаках.
Microsoft оголосила, що її Підрозділ цифрових злочинів продовжить вживати заходів проти осіб, які сприяють злочинній діяльності, з координацією з правоохоронними органами всього світу. Цей підрозділ займається захистом компанії через різні стратегії, включаючи юридичні дії, технічні контрзаходи та партнерство з державними структурами.
У своїх блозі Nightmare Eclipse заявив про те, що намагався зв’язатися з Microsoft, але стверджує, що компанія не відреагувала належним чином, навіть позбавила його доступу до порталу Microsoft Security Response Center, де дослідники можуть повідомляти про вразливості. Таке ілюструє, що у випадку відкриття цих уразливостей, вони стали zero-day, тобто невідомими компанії на момент їхнього розкриття.
Уразливості були опубліковані на відкритих репозиторіях GitHub і GitLab. Відзначимо, що акаунти дослідників на цих платформах були заблоковані.
На запитання про ситуацію, ні Nightmare Eclipse, ні Microsoft поки що не прокоментували.
Експерти з кібербезпеки попереджають про негативний вплив
Ця публічна суперечка відновлює важливу дискусію: чи мають незалежні дослідники безпеки обов’язок забезпечити усунення вразливостей, які вони знаходять? І які зусилля потрібно докладати для гарантії усунення вразливостей технічними гігантами?
Одна зі сторінці цього обговорення, на якій вже давно досягнуто консенсусу, це те, що дослідники повинні отримувати винагороду за свою працю. Незважаючи на те, що це виглядає очевидно сьогодні, цей процес тривав багато років, починаючи з кампанії 2009 року «Кінець безкоштовним багам». Сьогодні більшість компаній пропонують фінансові винагороди у вигляді «bug bounty», що сягали шістизначних сум за надання інформації про вразливості.
У відповідь на конфлікт з Nightmare Eclipse, багато дослідників почали ділитися своїм негативним досвідом щодо повідомлень про баги до Microsoft. Ваша думка про ситуацію значною мірою відображає невдоволення багатьох у спільноті кібербезпеки, у тому числі таких експертів, як засновниця Luta Security Кеті Муссуріс. Вона, працюючи в Microsoft, на початку 2000-х років, сприяла переходу до системи «согласованого розкриття».
“Використання терміна ‘відповідальне’ розкриття стало деструктивним моментом,” — зазначила Муссуріс, посилаючись на блог Microsoft. “Додавати загрозу переслідуванням за згадкою про Підрозділ цифрових злочинів — це вже край, і це призведе до недовіри з боку дослідників.”
Муссуріс попередила, що втрата довіри до Microsoft може призвести до обмеження бажання людей повідомляти про баги, що загрожує безпеці усіх.
Дослідник безпеки та колишній працівник Microsoft Кевін Бомонт також розкритикував позицію компанії у своєму блозі, назвавши її «вогняною ямою, створеною самостійно». Він підкреслив, що розповсюдження експлуатованих нульових днів не може розглядатися як “злочинна діяльність” та підкреслив, що відповідальне розкриття часто має на меті захистити не користувачів, а власника продукту. Використання загроз для кримінального переслідування дослідників — це новий рівень негідності.
