الصراع العلني بين مايكروسوفت وباحث أمني يثير نقاشًا جديدًا في صناعة الأمن السيبراني حول قواعد الإفصاح عن الثغرات. يتركز الجدل على أن الباحث أطلق علنًا عدة ثغرات ورموز استغلال قبل أن تكمل مايكروسوفت إصلاحها، بينما انتقدت مايكروسوفت هذا السلوك لأنه قد يساعد المهاجمين، وحذرت من متابعة المسؤولية القانونية والتنفيذية.
مايكروسوفت تنتقد الإفصاح العلني
نشرت مايكروسوفت مقالة يوم الأربعاء انتقدت فيها الباحث الذي يُعرف باسم "Nightmare Eclipse" للكشف العلني عن عدة ثغرات، بما في ذلك BlueHammer و RedSun UnDefend و YellowKey. تتعلق هذه المشكلات بمحرك مكافح الفيروسات المدمج في Windows Defender، وأدوات تشفير الأقراص مثل BitLocker.
أشارت مايكروسوفت إلى أن الباحثين لم يُقدّموا الثغرات عبر القنوات الرسمية أولاً لمنح الشركة وقتًا لإصلاحها. وتعتقد مايكروسوفت أن هذا الكشف العلني قبل الإصلاح يزيد من خطر الهجمات الواقعية. كما أوضحت مايكروسوفت أن بعض هذه الثغرات استُخدمت لاحقًا من قبل قراصنة في هجمات حقيقية، وأشارت وكالة الأمن السيبراني الأمريكية CISA أيضًا إلى هذه الحالة.
Microsoft mentioned that criminal referral sparked backlash
كتب مايكروسوفت في مدونتها أن قسم الجرائم الرقمية الخاص بها سيستمر في رفع قضايا ضد الأطراف المعنية و"من يساعدون في أنشطتهم الإجرامية"، وستنسق مع هيئات إنفاذ القانون العالمية عند الحاجة. يُفهم على نطاق واسع أن هذا التصريح يُعد تهديدًا قانونيًا موجهًا إلى الباحثين.
في الأسابيع الأخيرة، ذكر Nightmare Eclipse في مدونته أنه تواصل مع مايكروسوفت، لكنه عانى من معاملة غير لائقة، بما في ذلك سحب مايكروسوفت لصلاحيات حسابه في مركز استجابة أمان مايكروسوفت. كان هذا الحساب يستخدم سابقًا لتقديم تقارير الثغرات إلى مايكروسوفت. وأشار الباحث إلى أنه اختار الكشف العلني عن الثغرة فقط بعد تعطل قنوات التواصل.
تشير البيانات العامة إلى أن معلومات الثغرات هذه نُشرت على GitHub وGitLab، وقد تم حظر الحسابات ذات الصلة لاحقًا. GitHub مملوكة حاليًا من قبل مايكروسوفت.
الدائرة الأمنية قلقة من التأثير الرادع
أثارت هذه الضجة سريعاً استياء مجتمع أبحاث الأمان. ولا يُعد جوهر الجدل جديداً: هل يجب على الباحث المستقل التأكد من إصلاح الشركة المصنعة للثغرة بعد اكتشافها؛ وإذا لم تُعالج الشركة المصنعة الأمر بشكل مناسب، فما مدى مسؤولية الباحث؟
تم إنشاء مكافآت الثغرات وآلية الإفصاح المنسق أصلاً لتخفيف مثل هذه التناقضات. اليوم، توفر معظم الشركات التكنولوجية الكبرى مكافآت للباحثين الذين يبلغون عن الثغرات بشكل خاص، وتنسق الكشف عن التفاصيل بعد إصلاح الثغرة.
قالت كاتي موسوريس، مؤسسة Luta Security التي ساهمت في دفع آلية مكافآت الثغرات في مايكروسوفت، لـ TechCrunch: إن استخدام مايكروسوفت مجددًا لمصطلحات مثل "الإفصاح المسؤول" يُعد في حد ذاته وسيلة لتحميل الباحثين المسؤولية بشكل أحادي؛ بالإضافة إلى الإشارة إلى قسم الجرائم الرقمية، فقد يُضعف أكثر من ثقة الباحثين في مايكروسوفت.
حذرت من أنه إذا توقف الباحثون عن الإبلاغ عن الثغرات لشركة مايكروسوفت، فستبقى مشكلات أمنية أكبر خارج الأنظار، مما يزيد المخاطر العامة. كما انتقد كيفن بومونت، وهو موظف سابق في مايكروسوفت وباحث أمني حالي، طريقة معالجة الشركة، مشيرًا إلى أن ربط كود استغلال الثغرات بـ"الأنشطة الإجرامية" يمثل أزمة علاقات عامة وثقة ناجمة عن سوء إدارة الشركة.