После того как независимый исследователь в сфере кибербезопасности, известный под псевдонимом Nightmare Eclipse, обнародовал ряд неустраненных уязвимостей в продуктах Microsoft вместе с кодом для их эксплуатации, компания выступила с заявлением о возможности уголовного преследования исследователя. Такой шаг Microsoft возобновил дискуссию о ответственности исследователей за раскрытие уязвимостей в продуктах крупных технологических корпораций.
Об этом сообщает ProIT
Критика действий исследователя и реакция Microsoft
В официальном блоге Microsoft компания раскритиковала действия Nightmare Eclipse, который публично раскрыл ошибки BlueHammer, RedSun UnDefend и YellowKey, касающиеся средства антивирусной защиты Windows Defender и инструмента шифрования BitLocker. Microsoft отметила, что исследователь не пытался сообщить о уязвимостях для их исправления, назвав такое поведение “безответственным”. Более того, публикация деталей и средств эксплуатации уязвимостей до их устранения, по утверждению компании, способствовала хакерским атакам в реальном мире. О фактах использования некоторых из этих уязвимостей сообщили также в Агентстве по кибербезопасности США (CISA).
“Our Digital Crimes Unit will continue bringing cases against these actors and those that enable their criminal activity — coordinating as needed with law enforcement around the world”, — отметили в Microsoft.
Nightmare Eclipse в серии блогов утверждал, что контактировал с Microsoft, но компания якобы заблокировала ему доступ к порталу Microsoft Security Response Center, где исследователи отчитываются о найденных ошибках. По мнению Nightmare Eclipse, это заставило его обнародовать уязвимости в открытом доступе, превратив их в так называемые zero-day — ошибки, о которых производитель программного обеспечения еще не знает на момент их публикации или использования.
Ошибки были размещены на открытых репозиториях GitHub (принадлежит Microsoft) и GitLab, однако учетные записи исследователя на этих платформах заблокировали. Сам Nightmare Eclipse и Microsoft отказались от комментариев по поводу ситуации.
Реакция специалистов по кибербезопасности и последствия для индустрии
Публичная полемика вновь подняла спорный вопрос: насколько независимые исследователи должны гарантировать исправление найденных уязвимостей, и какой должна быть их взаимодействие с компаниями? Значительная часть сообщества специалистов по кибербезопасности открыто выражает недовольство тем, как Microsoft ведет себя в этой ситуации. Так, основательница Luta Security Кэти Муссурис, которая в 2000-х годах работала в Microsoft и внедряла программы вознаграждений за сообщения об ошибках, раскритиковала использование компанией термина «ответственное раскрытие» и упоминание о Digital Crimes Unit с угрозой уголовного преследования. Она подчеркнула, что такие действия лишь подрывают доверие исследователей к Microsoft.
Муссурис также предупредила, что потеря доверия к компании со стороны исследователей может привести к тому, что меньше людей будут желать сообщать о найденных уязвимостях, что снизит уровень безопасности пользователей.
Другой исследователь — Кевин Бьюмон, бывший сотрудник Microsoft, также раскритиковал позицию компании, назвав ситуацию «пожаром на собственном свалке». Он отметил, что использование понятия «ответственное раскрытие» часто направлено на защиту интересов компании, а не пользователей, а попытки криминализовать исследовательскую деятельность являются опасным прецедентом для индустрии.