Ang pampublikong pagkakalat sa pagitan ng Microsoft at isang security researcher ay nagpapalakas ng pag-uusap sa industriya ng cybersecurity tungkol sa mga patakaran sa paglalathala ng mga vulnerability. Ang sentro ng kontrobersya ay ang paglalathala ng maraming vulnerability at exploit code ng researcher bago makumpleto ng Microsoft ang pagpapabuti, habang pinagtutuunan ng kritika ng Microsoft ang gawaing ito dahil maaaring magbigay ng tulong sa mga attacker, at binigyan ng babala na sasagipin nila ang legal at enforcement channels.
Microsoft ay tumukoy sa pampublikong pagpapahayag
Ipinahayag ng Microsoft noong Miyerkules ang isang blog post na nagkritika sa isang researcher na may username na "Nightmare Eclipse" dahil sa pagpapalabas ng maraming vulnerabilities, kabilang ang BlueHammer, RedSun UnDefend, at YellowKey. Ang mga problema na ito ay tumutukoy sa Windows built-in antivirus engine na Defender, pati na rin sa mga produkto tulad ng BitLocker.
Sinabi ng Microsoft na ang mga mananaliksik ay hindi una nang sumumite sa pamamagitan ng normal na channel upang bigyan ng oras ang kompanya para i-remedyo. Naniniwala ang Microsoft na ang ganitong uri ng pagsasahayag bago ma-remedyo ay nagpapataas ng panganib ng aktuwal na pag-atake. Sinabi rin ng Microsoft na ang ilan sa mga vulnerability ay ginamit na ng mga hacker sa aktuwal na pag-atake, at binanggit din ng American cybersecurity agency na CISA ang kaugnay na sitwasyon.
Binanggit ng Microsoft ang pagbabalik-tanaw sa pagpapasa sa kriminal na pagkakasala
Isinulat ng Microsoft sa kanilang blog na patuloy nilang ipapaglaban ang mga kaso laban sa mga nagtataglay at sa mga "nagpapalakas sa kanilang krimen," at magkakaroon ng koordinasyon sa mga ahensya ng batas sa buong mundo kung kinakailangan. Ang pangkalahatang pananaw ay na ang pahayag na ito ay isang legal na banta sa mga researcher.
Noong ilang linggo ang nakalipas, ang Nightmare Eclipse ay sinabi sa blog na kanyang napanood ang Microsoft, ngunit kinabuhusan ng di-maayos na pagtrato, kabilang ang pagkansela ng Microsoft sa kanyang access sa Microsoft Security Response Center. Ang account ay ginagamit para magsumite ng mga ulat tungkol sa mga vulnerability. Ipinahiwatig ng researcher na dahil sa pagkakasira ng kanilang channel ng komunikasyon, pinili niya na gawing pampubliko ang pagpapalabas ng vulnerability.
Ayon sa publikong impormasyon, ang mga impormasyon tungkol sa mga vulnerability ay ipinost sa GitHub at GitLab, at ang mga kaugnay na account ay agad na binansot. Ang GitHub ay kasalukuyang binabawasan ng Microsoft.
Nag-aalala ang safety circle sa chilling effect
Ang gulo ay agad na nagdulot ng galit sa komunidad ng mga siyentipiko sa seguridad. Ang pangunahing debate ay hindi bagong bagay: Kung dapat ba ng mga independiyenteng siyentipiko na siguraduhin na natutupad ng mga manufacturer ang pagpapabuti pagkatapos makahanap ng mga butas; at kung gaano karaming responsibilidad ang dapat tanggungin ng mga siyentipiko kung hindi maayos na inangkop ng manufacturer ang solusyon.
Ang mga bounty para sa mga漏洞 at mekanismo ng koordinadong pagpapahayag ay itinatag upang mapabawas ang ganitong uri ng kontrabida. Sa kasalukuyan, ang karamihan sa mga malalaking teknolohiya na kumpanya ay nagbibigay ng bonus sa mga mananaliksik na nagrereport ng mga漏洞 nang pribado, at koordinado ang pagpapahayag ng mga detalye matapos ayusin ang漏洞.
Sinabi ni Katie Moussouris, ang tagapagtatag ng Luta Security na dating nagpapalaganap ng bug bounty program sa Microsoft, sa TechCrunch na ang paggamit muli ng Microsoft ng mga termino tulad ng “responsible disclosure” ay nagdudulot ng pagkakataon na isama ang buong responsibilidad sa mga researcher; kasama pa ang pagbanggit sa Digital Crime Unit, maaaring mas mabawasan ang tiwala ng mga researcher sa Microsoft.
Binarilang niya na kung ang mga researcher ay hindi na magkakaroon ng kagustuhan na mag-report ng mga vulnerability sa Microsoft, mas maraming security issues ang mananatiling nasa labas ng publiko, at ang pangkalahatang panganib ay lalaki. Si Kevin Beaumont, dating empleyado ng Microsoft at kasalukuyang security researcher, ay nagkritika rin sa paraan ng pagtrato ng kompanya, sinabi niya na ang pagkakaintindi ng kompanya sa paggamit ng exploit code bilang “krimen” ay isang crisis sa public relations at tiwala na nagmula sa sariling maling pagtrato nito.