Microsoft під прицілом: кримінальна справа проти дослідника безпеки

Ключові деталі:

• Microsoft погрожує судовими позовами та правоохоронцями досліднику безпеки, який оприлюднив невідомі вразливості.
• Дослідник, відомий як “Nightmare Eclipse”, стверджує, що Microsoft погано взаємодіяла з ним, вилучивши доступ до порталу звітування про помилки.
• Інцидент викликав широке невдоволення в спільноті кібербезпеки, яка побоюється “охолоджувального ефекту” на майбутнє виявлення вразливостей.

Після того, як незалежний дослідник безпеки оприлюднив низку не залагоджених програмних помилок у продуктах техногіганта, разом із кодом для їх експлуатації, компанія пригрозила вжити юридичних заходів та звернутися до правоохоронних органів. Ця невиразна погроза відновить давні дебати щодо відповідальності, якщо така існує, дослідників безпеки за розкриття вразливостей, що впливають на великих та заможних технологічних гігантів.

У середу компанія опублікувала допис у блозі, критикуючи дослідника, відомого під псевдонімом “Nightmare Eclipse”, за публічне розкриття серії помилок, зокрема BlueHammer, RedSun, UnDefend та YellowKey. Ці недоліки вплинули на такі продукти, як вбудований антивірус Windows Defender та засіб шифрування дисків BitLocker.

Суть претензій полягає в тому, що дослідник не намагався повідомити про ці помилки для їх виправлення. Згідно з дописом компанії, це було б “відповідальним” підходом. Інший аспект аргументації компанії полягає в тому, що, оприлюднивши деталі вразливостей та способи їх експлуатації до їх усунення, “Nightmare Eclipse” міг допомогти зловмисникам. За даними компанії та кібербезпекового агентства США CISA, деякі з виявлених “Nightmare Eclipse” вразливостей вже були використані хакерами в реальних атаках.

“Наш Підрозділ цифрових злочинів продовжуватиме притягувати до відповідальності таких осіб та тих, хто сприяє їхній злочинній діяльності, координуючи за потреби дії з правоохоронними органами по всьому світу”, – зазначила компанія. (Місія Підрозділу цифрових злочинів полягає в захисті компанії через різні стратегії, включаючи “цивільні судові позови, технічні контрзаходи, кримінальні звернення та державно-приватні партнерства”, згідно з його вебсайтом).

У серії блогів, опублікованих за останні кілька тижнів, без надання багатьох конкретних деталей, “Nightmare Eclipse” стверджував, що контактував з компанією, але та, за його словами, поводилася з ним неналежним чином, зокрема, відкликавши доступ до його облікового запису в Центрі реагування на проблеми безпеки (Microsoft Security Response Center) – порталі, через який дослідники можуть повідомляти про вразливості. Дослідник натякнув, що в нього не залишалося вибору, окрім як оприлюднити інформацію про вразливості, які на той момент стали “zero-day” – тобто, були невідомі розробнику програмного забезпечення до моменту їх виявлення або експлуатації.

Дослідник опублікував інформацію про помилки на відкритих репозиторіях GitHub (що належить компанії) та GitLab. Акаунти дослідника на цих платформах були заблоковані.

“Nightmare Eclipse” та компанія не відповіли на запит про коментар.

Ветеранів кібербезпеки турбує “охолоджувальний ефект”

Ця публічна суперечка повертає до давньої та досі суперечливої дискусії: чи мають незалежні дослідники безпеки обов’язок забезпечувати виправлення знайдених ними вразливостей? І наскільки далеко вони мають заходити, щоб переконатися, що компанії, чиї продукти вразливі, їх виправляють?

Одна частина цієї дискусії, яка вже давно врегульована та широко визнана, полягає в тому, що дослідники заслуговують на винагороду за свою працю. Хоча сьогодні це може здатися очевидним, знадобилися роки боротьби, частково задокументованої в кампанії 2009 року під назвою “No More Free Bugs”. Майже 20 років потому більшість компаній, великих і малих, виплачують фінансові винагороди за програмами “bug bounty”, які сьогодні можуть сягати шестизначних сум або й більше дослідникам, що приватно розкривають помилки та координують публікацію їхніх деталей після виправлення.

У відповідь на цю останню суперечку з “Nightmare Eclipse”, численні дослідники поділилися своїм негативним досвідом повідомлення про помилки компанії. Справедливо буде сказати, що значна частина спільноти кібербезпеки висловлює своє невдоволення тим, як компанія вирішує це питання. Це включає ветеранів кібербезпеки, таких як засновник Luta Security Кеті Муссуріс, яка, працюючи в компанії в середині-кінці 2000-х, запровадила програми “bug bounty” та переконала технологічного гіганта відмовитися від концепції “відповідального розкриття”, сформулювавши процес як “скоординоване розкриття”.

“Використання терміну ‘відповідальне’ розкриття було першим ударом, на мій погляд”, – заявила Муссуріс, коментуючи допис компанії. “Додавання погрози судовим переслідуванням через згадку [Підрозділу цифрових злочинів] було надмірним і призведе лише до втрати довіри дослідників безпеки до компанії”.

Муссуріс попередила, що наслідки втрати довіри дослідників безпеки до компанії можуть призвести до “охолоджувального ефекту”, коли менше людей будуть повідомляти про помилки, “роблячи всіх нас менш захищеними”.

Дослідник безпеки та колишній співробітник компанії Кевін Бомонт також розкритикував компанію у своєму дописі, назвавши позицію компанії “купа сміття, створена ними ж”.

“Створення та розповсюдження доказів експлуатації для нульових днів тепер є ‘злочинною діяльністю’?” – написав Бомонт. “Відповідальне розкриття досить часто вибудовується для захисту власника продукту, а не клієнта – використання його для кримінального переслідування людей є новим дном”.

За даними порталу: techcrunch.com