Після того як незалежний дослідник у сфері кібербезпеки, відомий під псевдонімом Nightmare Eclipse, оприлюднив низку невиправлених вразливостей у продуктах Microsoft разом із кодом для їх експлуатації, компанія виступила з заявою про можливість кримінального переслідування дослідника. Такий крок Microsoft відновив дискусію про відповідальність дослідників щодо розкриття уразливостей у продуктах великих технічних корпорацій.
Про це розповідає ProIT
Критика дій дослідника та реакція Microsoft
У офіційному блозі Microsoft компанія розкритикувала дії Nightmare Eclipse, який публічно розкрив баги BlueHammer, RedSun UnDefend і YellowKey, що стосуються засобу антивірусного захисту Windows Defender і інструменту шифрування BitLocker. Microsoft зауважила, що дослідник не намагався повідомити про вразливості для їхнього виправлення, назвавши таку поведінку “безвідповідальною”. Більше того, публікація деталей та засобів експлуатації уразливостей до їх усунення, за твердженням компанії, сприяла хакерським атакам у реальному світі. Про факти використання деяких з цих вразливостей повідомили також у Агентстві з кібербезпеки США (CISA).
“Our Digital Crimes Unit will continue bringing cases against these actors and those that enable their criminal activity — coordinating as needed with law enforcement around the world”, — зазначили в Microsoft.
Nightmare Eclipse у серії блогів стверджував, що контактував із Microsoft, але компанія нібито заблокувала йому доступ до порталу Microsoft Security Response Center, де дослідники звітують про знайдені баги. На думку Nightmare Eclipse, це змусило його оприлюднити уразливості у відкритому доступі, перетворивши їх на так звані zero-day — баги, про які виробник програмного забезпечення ще не знає на момент їх публікації чи використання.
Баги були розміщені на відкритих репозиторіях GitHub (що належить Microsoft) і GitLab, проте облікові записи дослідника на цих платформах заблокували. Самі Nightmare Eclipse і Microsoft відмовилися від коментарів щодо ситуації.
Реакція фахівців з кібербезпеки та наслідки для індустрії
Публічна суперечка знову підняла суперечливе питання: наскільки незалежні дослідники повинні гарантувати виправлення знайдених вразливостей, та якою має бути їх взаємодія з компаніями? Значна частина спільноти фахівців з кібербезпеки відкрито висловлює невдоволення тим, як Microsoft поводиться у цій ситуації. Так, засновниця Luta Security Кеті Муссуріс, яка в 2000-х роках працювала в Microsoft і впроваджувала програми винагород за повідомлення про баги, розкритикувала вжиття компанією терміну «відповідальне розкриття» та згадування про Digital Crimes Unit з погрозою кримінального переслідування. Вона підкреслила, що такі дії лише підривають довіру дослідників до Microsoft.
Муссуріс також попередила, що втрата довіри до компанії з боку дослідників може призвести до того, що менше людей захоче повідомляти про знайдені вразливості, що знизить рівень безпеки користувачів.
Інший дослідник — Кевін Б’юмон, колишній співробітник Microsoft, також розкритикував позицію компанії, назвавши ситуацію «пожежою на власному смітнику». Він зазначив, що використання поняття «відповідальне розкриття» часто спрямоване на захист інтересів компанії, а не користувачів, а спроби криміналізувати дослідницьку діяльність є небезпечним прецедентом для індустрії.