Microsoft ile bir güvenlik araştırmacısı arasındaki açık çatışma, güvenlik açıkları bildirim kuralları üzerine ağ güvenliği endüstrisinde yeniden bir tartışma başlatıyor. Çatışmanın odak noktası, araştırmacının Microsoft'un tamirini tamamlamadan önce birden fazla güvenlik açığı ve bunların kullanımlarını açıklamasıdır; Microsoft ise bu yaklaşımın saldırganlara yardımcı olabileceğini savunarak, yasal ve uygulama yollarıyla sorumluluğu takip edeceğine dair uyarıda bulunuyor.
Microsoft, açık bildirimleri eleştirdi
Microsoft, Çarşamba günü "Nightmare Eclipse" takma adlı araştırmacının BlueHammer, RedSun UnDefend ve YellowKey dahil birçok açığı açıkça açıklamasını eleştiren bir blog yazısı yayınladı. Bu sorunlar, Windows'un yerleşik antivirüs motoru Defender ve disk şifreleme aracı BitLocker gibi ürünlerle ilgiliydi.
Microsoft, araştırmacıların açıkları normal kanallar aracılığıyla önce bildirmesini ve şirketin onarıma zaman bırakmasını beklemesini istedi. Microsoft, bu tür onarılmadan önceki açıklayıcı açıklamaların gerçek saldırı riskini artırdığını düşünüyor. Microsoft ayrıca, bu açıklardan bazılarının daha sonra siber suçlular tarafından gerçek saldırılar için kullanıldığını belirtti; ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) de ilgili durumlara dikkat çekti.
Microsoft, cezai iadeyi eleştirildi
Microsoft, blog yazısında dijital suç biriminin ilgili kişileri ve "suç faaliyetlerine yardım edenleri" hâlâ takip edeceğini ve gerekli durumlarda küresel uygulama kurumlarıyla koordinasyon sağlayacağını belirtti. Dış dünyada bu ifadenin araştırmacılara yasal bir tehdit olarak algılandığı düşünülüyor.
Nightmare Eclipse, son haftalarda blogunda, Microsoft ile temas kurduğunu ancak yanlış muamele gördüğünü, özellikle Microsoft'un Microsoft Güvenlik Yanıt Merkezi hesap izinlerini iptal ettiğini belirtti. Bu hesap, zafiyet raporları sunmak için kullanılıyordu. Araştırmacı, iletişim kanallarının engellendikten sonra zafiyetleri açıkça açıklamaya karar verdiğini ima etti.
Kamu kaynaklarına göre, bu güvenlik açıkları bilgileri GitHub ve GitLab üzerinde yayınlandı ve ilgili hesaplar ardından engellendi. GitHub şu anda Microsoft'a aittir.
Güvenlik dairesi, sessizlik etkisi endişesi taşıyor
Bu olay, güvenlik araştırma topluluğunda hemen tepkiye neden oldu. Tartışmanın çekirdeği yeni değil: Bağımsız araştırmacılar bir açığı keşfettikten sonra, üreticinin tamirini tamamlamasını sağlamak zorunda mı; üretici yanlış davranırsa, araştırmacının ne kadar sorumluluğu olmalı.
Güvenlik açıkları ve koordine açıklık mekanizmaları, bu tür çatışmaları hafifletmek amacıyla oluşturulmuştur. Günümüzde, büyük çoğunlukla büyük teknoloji şirketleri, gizli olarak güvenlik açıkları raporlayan araştırmacılara ödüller verir ve açıklar düzeltildikten sonra detayları koordine ederek açıklar.
Katie Moussouris, Luta Security'in kurucusu ve Microsoft'ta güvenlik açığı ödüllendirme mekanizmasını önceden yöneten, TechCrunch'a Microsoft'un "sorumlu açıklama" gibi ifadeleri tekrar kullanmasının, sorumluluğun tamamen araştırmacılar üzerine yüklenmesine neden olabileceğini ve dijital suç birimine atıfta bulunmasının araştırmacıların Microsoft'a olan güvenini daha da zayıflatabileceğini belirtti.
O, araştırmacıların Microsoft'a güvenlik açıkları rapor etmeyi bırakması durumunda, daha fazla güvenlik sorununun açık alanda kalacağı ve toplam riskin artacağı konusunda uyarıda bulundu. Önceki Microsoft çalışanı ve mevcut güvenlik araştırmacısı Kevin Beaumont, şirketin bu sorunu ele alma şeklini açıkça eleştirdi ve şirketin güvenlik açıkları kullanım kodlarını doğrudan "suç faaliyetleri" ile ilişkilendirmesinin, kendi yanlış yönetimi nedeniyle bir kamuoyu ve güven krizine yol açtığını söyledi.