Konflik publik antara Microsoft dan seorang peneliti keamanan sedang memicu diskusi ulang di industri keamanan siber mengenai aturan pengungkapan kerentanan. Titik perdebatan terletak pada fakta bahwa peneliti tersebut mengungkapkan beberapa kerentanan dan kode eksploitasi sebelum Microsoft menyelesaikan perbaikannya, sementara Microsoft mengkritik tindakan ini karena berpotensi membantu penyerang dan memperingatkan akan mengejar tanggung jawab melalui saluran hukum dan penegakan hukum.
Microsoft menyoroti pengungkapan publik
Microsoft merilis postingan blog pada Rabu, mengkritik peneliti dengan nama pengguna "Nightmare Eclipse" karena mengungkapkan secara terbuka beberapa kerentanan, termasuk BlueHammer, RedSun UnDefend, dan YellowKey. Masalah-masalah ini melibatkan mesin antivirus bawaan Windows Defender, serta alat enkripsi disk BitLocker, dll.
Microsoft menyatakan bahwa peneliti tidak terlebih dahulu mengirimkan kerentanan melalui saluran resmi untuk memberikan waktu kepada perusahaan dalam memperbaikinya. Microsoft berpendapat bahwa pengungkapan publik sebelum diperbaiki dapat meningkatkan risiko serangan nyata. Microsoft juga menyatakan bahwa sebagian kerentanan tersebut kemudian dimanfaatkan oleh peretas untuk serangan nyata, dan lembaga keamanan siber AS, CISA, juga telah menyebutkan situasi terkait.
Microsoft menyebutkan pengalihan kriminal memicu reaksi balik
Microsoft menulis dalam postingan blognya bahwa departemen kejahatan digitalnya akan terus mengajukan kasus terhadap pelaku terkait dan pihak-pihak yang "membantu kegiatan kriminal mereka," serta berkoordinasi dengan lembaga penegak hukum global bila diperlukan. Banyak pihak menganggap pernyataan ini sebagai ancaman hukum terhadap para peneliti.
Nightmare Eclipse dalam beberapa minggu terakhir menyatakan di blog bahwa ia pernah berhubungan dengan Microsoft, tetapi mendapat perlakuan tidak pantas, termasuk pencabutan akses akun Microsoft Security Response Center-nya. Akun tersebut awalnya digunakan untuk mengirim laporan kerentanan ke Microsoft. Peneliti tersebut menyiratkan bahwa ia memilih mengungkapkan kerentanan secara publik setelah saluran komunikasi terhambat.
Data publik menunjukkan bahwa informasi kerentanan ini diposting di GitHub dan GitLab, dan akun terkait kemudian diblokir. GitHub saat ini dimiliki oleh Microsoft.
Komunitas keamanan khawatir tentang efek membungkam
Gelombang kemarahan ini cepat memicu ketidakpuasan dari komunitas peneliti keamanan. Inti perdebatan ini bukan hal baru: apakah peneliti independen yang menemukan kerentanan harus memastikan pabrikan menyelesaikan perbaikannya; dan sejauh mana tanggung jawab peneliti jika pabrikan menangani masalah dengan tidak tepat.
Program hadiah kerentanan dan mekanisme pengungkapan terkoordinasi awalnya dibangun untuk meredakan konflik semacam ini. Saat ini, sebagian besar perusahaan teknologi besar memberikan hadiah kepada peneliti yang melaporkan kerentanan secara rahasia, serta mengoordinasikan pengungkapan detail setelah kerentanan diperbaiki.
Katie Moussouris, pendiri Luta Security yang pernah mendorong mekanisme bounty kerentanan di Microsoft, mengatakan kepada TechCrunch bahwa penggunaan kembali frasa seperti "pengungkapan bertanggung jawab" oleh Microsoft sendiri cenderung membebani tanggung jawab secara sepihak kepada para peneliti; ditambah dengan penyebutan departemen kejahatan digital, hal ini dapat lebih melemahkan kepercayaan para peneliti terhadap Microsoft.
Dia memperingatkan bahwa jika para peneliti tidak lagi bersedia melaporkan kerentanan kepada Microsoft, akhirnya akan ada lebih banyak masalah keamanan yang tetap berada di luar pandangan publik, sehingga risiko keseluruhan justru meningkat. Kevin Beaumont, mantan karyawan Microsoft dan saat ini peneliti keamanan, juga secara terbuka mengkritik pendekatan Microsoft, menyatakan bahwa perusahaan menghubungkan kode eksploitasi kerentanan secara langsung dengan "aktivitas kriminal", yang merupakan krisis publik dan kepercayaan yang disebabkan oleh penanganannya sendiri yang salah.