Nakon što je istraživač sigurnosti objavio seriju neispravljenih grešaka u Microsoftovim proizvodima, zajedno s kodom za njihovo iskorištavanje, tvrtka sada prijeti pravnim radnjama i obavještavanjem policije. Ova prikrivena prijetnja ponovno pokreće dugotrajnu raspravu o tome kakvu odgovornost, ako je uopće, istraživači sigurnosti imaju u vezi s otkrivanjem ranjivosti koje pogađaju velike i bogate tehnološke gigante.
U srijedu je Microsoft objavio blog post kritizirajući istraživača poznatog kao “Nightmare Eclipse” zbog javnog otkrivanja serije grešaka, uključujući BlueHammer, RedSun, UnDefend i YellowKey. Ove greške utjecale su na proizvode kao što su ugrađeni antivirusni program Defender i alat za enkripciju diska BitLocker.
Osnovna Microsoftova pritužba je da istraživač nije pokušao prijaviti greške kako bi ih tvrtka mogla ispraviti. To bi bilo “odgovorno”, kako je navedeno u Microsoftovom blogu. Druga strana argumenta tvrtke je da je objavljivanjem detalja o greškama i načinu njihova iskorištavanja prije nego što su ispravljene, Nightmare Eclipse mogao pomoći zlonamjernim hakera. Prema Microsoftu i američkoj agenciji za kibernetsku sigurnost CISA, neke od ranjivosti koje je otkrio Nightmare Eclipse su korištene u stvarnim napadima.
“Naša jedinica za digitalne zločine nastavit će podizati tužbe protiv tih aktera i onih koji omogućuju njihovu kriminalnu aktivnost — koordinirajući po potrebi s policijom širom svijeta”, napisao je Microsoft. (Microsoftova jedinica za digitalne zločine ima zadatak zaštititi tvrtku kroz različite strategije, uključujući “građanske pravne radnje, tehničke protumjere, kaznene prijave i javno-privatna partnerstva”, prema njihovoj web stranici).
U nizu blogova objavljenih u posljednjih nekoliko tjedana — bez davanja mnogo specifičnih detalja — Nightmare Eclipse je tvrdio da je bio u kontaktu s Microsoftom, no da ih je tvrtka navodno loše tretirala, uključujući opoziv pristupa njihovom računu u Microsoft Security Response Centeru, portalu na kojem istraživači mogu prijaviti ranjivosti ovom tehnološkom gigantu. Nightmare Eclipse implicira da nisu imali izbora nego javno objaviti ranjivosti, što je u suštini značilo da su u tom trenutku bile zero-day, specifičan pojam za sigurnosne greške koje su nepoznate proizvođaču softvera u trenutku kada su otkrivene ili iskorištene.
Istraživači su objavili greške na otvorenim izvorima GitHub (koji je u vlasništvu Microsofta) i GitLab. Računi istraživača na tim platformama su zabranjeni.
Nightmare Eclipse je odbio komentirati. Microsoft nije komentirao izvan svog blog posta.
Veterani kibernetske sigurnosti upozoravaju na hladni učinak
Ova javna rasprava ponovno pokreće dugotrajnu i još uvijek pomalo kontroverznu raspravu: Imaju li neovisni istraživači sigurnosti dužnost osigurati da se ranjivosti koje pronađu isprave? I koliko daleko trebaju ići kako bi osigurali da tvrtke čiji su proizvodi ranjivi zapravo isprave te greške?
Jedan dio ove rasprave, koji je potpuno riješen i široko priznat, je da istraživači zaslužuju biti plaćeni za svoj rad. Dok se to danas može činiti očitim, trebalo je godina borbe, djelomično zabilježenih tijekom kampanje pokrenute 2009. godine pod nazivom “No More Free Bugs.” Gotovo 20 godina kasnije, većina malih i velikih tvrtki plaća “bug bounty” financijske nagrade, koje danas mogu doseći i šesteroznamenkaste iznose istraživačima koji privatno prijave greške i koordiniraju objavljivanje njihovih detalja nakon što su greške ispravljene.
U odgovoru na ovu najnoviju kontroverzu s Nightmare Eclipse, nebrojeni istraživači dijele svoja loša iskustva s prijavom grešaka Microsoftu. Pošteno je reći da je velika većina zajednice kibernetske sigurnosti glasno nezadovoljna načinom na koji Microsoft rješava ovo pitanje. To uključuje veterane kibernetske sigurnosti, poput osnivačice Luta Security Katie Moussouris, koja je, dok je radila u Microsoftu sredinom do kasnih 2000-ih, bila pionir nagrada za greške i uvjerila tehnološkog giganta da se udalji od koncepta “odgovornog otkrivanja” oblikujući proces kao “koordinirano otkrivanje.”
“Pozivanje na pojam ‘odgovorno’ otkrivanje bilo je prvi udarac u mojoj knjizi”, rekla je Moussouris za TechCrunch, osvrćući se na Microsoftov blog post. “Dodavanje prijetnje kaznenim progonom spominjanjem [Digital Crimes Unit] bilo je previše i samo će rezultirati time da istraživači sigurnosti izgube povjerenje u Microsoft.”
Moussouris je upozorila da bi posljedice gubitka povjerenja istraživača sigurnosti u Microsoft mogle rezultirati hladnim učinkom manje ljudi koji se javljaju kako bi prijavili greške, “što će učiniti da svi budemo manje sigurni.”
Istraživač sigurnosti i bivši zaposlenik Microsofta Kevin Beaumont također je kritizirao Microsoft u blog postu, opisujući stav tvrtke kao “kantu za smeće koju su sami stvorili.”
“Stvaranje i distribucija dokaza o konceptu za zero-day je ‘kriminalna aktivnost’ sada?” napisao je Beaumont. “Odgovorno otkrivanje često je oblikovano da zaštiti vlasnika proizvoda, a ne kupca — koristiti to za pokušaj kaznenog progona ljudi je nova niska.”
Ažurirano s odgovorima Nightmare Eclipse i Microsofta.
