মাইক্রোসফ্ট এবং একজন সুরক্ষা গবেষকের মধ্যে প্রকাশ্যে সংঘর্ষটি সাইবার নিরাপত্তা শিল্পের মধ্যে দুর্বলতা প্রকাশের নিয়মগুলির পুনর্বিচারের দিকে পথ প্রশস্ত করছে। বিতর্কের কেন্দ্রে রয়েছে যে, গবেষকটি মাইক্রোসফ্ট এখনও সংশোধন শেষ না করার আগেই অনেকগুলি দুর্বলতা এবং এক্সপ্লয়িট কোড প্রকাশ করেছিলেন, যখন মাইক্রোসফ্ট এই পদ্ধতিকে আক্রমণকারীদের সহায়তা করতে পারে বলে সমালোচনা করেছে এবং আইনগত এবং আইনশৃঙ্খলা চ্যানেলের মাধ্যমে দায়ভার নেওয়ার সতর্কবাণী দিয়েছে।
মাইক্রোসফ্ট পাবলিক ডিসক্লোজারকে সমালোচনা করেছে
মাইক্রোসফ্ট বুধবার একটি ব্লগ পোস্ট প্রকাশ করে নেটনাম "Nightmare Eclipse" এর গবেষককে অভিযোগ করে, যিনি BlueHammer, RedSun UnDefend এবং YellowKey সহ অনেকগুলি ভালোবাসা প্রকাশ করেছেন। এই সমস্যাগুলি Windows-এর অন্তর্নির্মিত অ্যান্টিভাইরাস ইঞ্জিন Defender এবং ডিস্ক এনক্রিপশন টুল BitLocker ইত্যাদি পণ্যগুলিকে সংশ্লিষ্ট করে।
মাইক্রোসফ্ট জানিয়েছে, গবেষকরা আগে স্বাভাবিক চ্যানেলের মাধ্যমে দুর্বলতাগুলো জমা দেয়নি, যাতে কোম্পানির কাছে সেগুলো ঠিক করার সময় থাকে। মাইক্রোসফ্টের মতে, এ ধরনের দুর্বলতা ঠিক করার আগে সেগুলো公开披露 করা বাস্তব আক্রমণের ঝুঁকি বাড়ায়। মাইক্রোসফ্ট আরও জানিয়েছে, এসব দুর্বলতার কিছু পরবর্তীতে হ্যাকাররা বাস্তব আক্রমণে ব্যবহার করেছে, এবং মার্কিন সাইবার নিরাপত্তা সংস্থা CISA-ও সংশ্লিষ্ট পরিস্থিতির উল্লেখ করেছে।
মাইক্রোসফ্ট জানিয়েছে যে আইনি হস্তান্তরের কারণে প্রতিক্রিয়া দেখা দিয়েছে
মাইক্রোসফ্ট তাদের ব্লগে লিখেছে যে তাদের ডিজিটাল অপরাধ বিভাগ সংশ্লিষ্ট ব্যক্তিদের এবং “তাদের অপরাধী কার্যক্রমে সহায়তা করা” ব্যক্তিদের বিরুদ্ধে মামলা চালিয়ে যাবে এবং প্রয়োজনে বিশ্বব্যাপী আইনশৃঙ্খলা সংস্থাগুলির সাথে সমন্বয় করবে। বহির্বিশ্বে এই বক্তব্যটিকে গবেষকদের প্রতি আইনগত হুমকি হিসাবে দেখা হচ্ছে।
নাইটমেয়ার ইক্লিপ্স গত কয়েক সপ্তাহে ব্লগে লিখেছেন যে, তিনি মাইক্রোসফটের সাথে যোগাযোগ করেছিলেন, কিন্তু অনুপযুক্ত আচরণের শিকার হয়েছিলেন, যার মধ্যে মাইক্রোসফট তাঁর মাইক্রোসফট সিকিউরিটি রিসপন্স সেন্টার অ্যাকাউন্টের অ্যাক্সেস বাতিল করা অন্তর্ভুক্ত। এই অ্যাকাউন্টটি মাইক্রোসফটকে ভালনের রিপোর্ট জমা দেওয়ার জন্য ব্যবহার করা হত। গবেষকটি ইঙ্গিত করেছেন যে, যখন যোগাযোগের চ্যানেলগুলি বন্ধ হয়ে গেল, তখনই তিনি ভালনগুলির পাবলিক ডিসক্লোজারের সিদ্ধান্ত নিয়েছিলেন।
পাবলিক তথ্য অনুযায়ী, এই ভাঙ্গনের তথ্যগুলি GitHub এবং GitLab-এ প্রকাশ করা হয়েছিল, এবং সংশ্লিষ্ট অ্যাকাউন্টগুলি পরে বন্ধ করে দেওয়া হয়েছে। GitHub বর্তমানে মাইক্রোসফটের মালিকানাধীন।
সিকিউরিটি সম্প্রদায় হ্যাঙ্গার ইফেক্টের চিন্তা করছে
এই বিতর্কটি দ্রুত সুরক্ষা গবেষণা সম্প্রদায়ের অসন্তুষ্টি তৈরি করেছে। বিতর্কের মূল বিষয়টি নতুন নয়: স্বাধীন গবেষক যখন ভাঙ্গন খুঁজে পান, তখন কি তাদের নিশ্চিত করা উচিত যে প্রস্তুতকারক সমাধানটি সম্পন্ন করেছে; এবং যদি প্রস্তুতকারক অপর্যাপ্তভাবে ব্যবহার করে, তবে গবেষকদের কতটা দায়িত্ব থাকা উচিত।
বোনাস পুরস্কার এবং সমন্বিত প্রকাশ ব্যবস্থা মূলত এই ধরনের দ্বন্দ্ব কমানোর জন্য তৈরি করা হয়েছিল। আজকাল, বেশিরভাগ বড় প্রযুক্তি কোম্পানি গোপনে ভাঙ্গন রিপোর্ট করা গবেষকদের বোনাস দেয় এবং ভাঙ্গনটি ঠিক করার পরে প্রকাশের বিস্তারিত তথ্য সমন্বিতভাবে প্রকাশ করে।
মাইক্রোসফ্টের ভাল্পন বেতন কর্মসূচির প্রতিষ্ঠাতা কেটি মুসোরিস টেকক্রাঞ্চকে বলেছেন, মাইক্রোসফ্ট আবার “দায়িত্বপূর্ণ প্রকাশ” এর মতো শব্দ ব্যবহার করা নিজেই দায় একপক্ষে গবেষকদের উপর চাপিয়ে দেওয়ার প্রবণতা রাখে; ডিজিটাল অপরাধ বিভাগের উল্লেখ করা আরও গবেষকদের মাইক্রোসফ্টের প্রতি বিশ্বাসকে দুর্বল করতে পারে।
তিনি সতর্ক করেন যে যদি গবেষকদের মাইক্রোসফটকে ভালান্টিউর রিপোর্ট করার ইচ্ছা না থাকে, তাহলে অনেক বেশি সুরক্ষা সমস্যা প্রকাশ্যের বাইরে থেকে যাবে এবং মোট ঝুঁকি বাড়বে। আগের মাইক্রোসফট কর্মচারী এবং বর্তমান সুরক্ষা গবেষক কেভিন বোয়েমন্টও মাইক্রোসফটের পদ্ধতির বিরুদ্ধে প্রকাশ্যে সমালোচনা করেন, যার মধ্যে তিনি বলেন যে কোম্পানিটি ভালান্টিউর এক্সপ্লয়িট কোডকে “অপরাধমূলক কার্যকলাপ”-এর সাথে সরাসরি সংযুক্ত করছে, যা নিজস্ব পরিচালনা-বিফলতার কারণে একটি প্রচারণা এবং বিশ্বাসের সংকট।