Публічний конфлікт між Microsoft та дослідником з безпеки спричинив перегляд правил розкриття вразливостей у галузі кібербезпеки. Основна суперечка полягає в тому, що дослідник оприлюднив кілька вразливостей та експлойтів до того, як Microsoft завершила їх виправлення, а Microsoft засудила цю дію, стверджуючи, що вона може допомогти зловмисникам, і попередила про можливість притягнення до відповідальності через правові та правоохоронні канали.
Microsoft критикує публічне розкриття
У середу Microsoft опублікувала пост, у якому критикує дослідника з ніком «Nightmare Eclipse» за публічне розкриття кількох вразливостей, включаючи BlueHammer, RedSun UnDefend і YellowKey. Ці проблеми стосуються вбудованого антивірусного двигуна Windows Defender та інших продуктів, таких як інструмент шифрування дисків BitLocker.
Майкрософт зазначила, що дослідники не подали вразливості через звичайні канали, що не дозволило компанії встигнути їх виправити. Майкрософт вважає, що таке публічне розголошення до виправлення збільшує ризик реальних атак. Майкрософт також зазначила, що деякі з цих вразливостей пізніше були використані хакерами для реальних атак, про що також згадувала американська агенція кібербезпеки CISA.
Microsoft згадала, що кримінальне передання викликало протест
Microsoft у пості написала, що її відділ цифрових злочинів продовжуватиме подавати позови проти відповідних осіб та тих, хто «допомагає їхнім злочинним діям», і координуватиме дії з глобальними правоохоронними органами, якщо це необхідно. Зовнішні спостерігачі вважають, що це твердження є правовою загрозою дослідникам.
Нескільки тижнів тому Nightmare Eclipse у блозі зазначив, що звертався до Microsoft, але зіткнувся з неправильним ставленням, включаючи відкликання прав доступу до його облікового запису в Центрі безпеки Microsoft. Цей обліковий запис використовувався для подання звітів про вразливості Microsoft. Дослідник намітив, що саме через перешкоди у каналах зв’язку вирішив публічно розкрити вразливість.
Відкриті дані показують, що інформація про ці вразливості була опублікована на GitHub і GitLab, після чого відповідні облікові записи були заблоковані. GitHub зараз належить Microsoft.
Безпекові кола стурбовані ефектом ланцюгової реакції
Цей скандал швидко викликав незадоволення в спільноті дослідників безпеки. Суть суперечки не є новою: чи повинні незалежні дослідники переконатися, що виробник виправив уразливість, і яка відповідальність лежить на досліднику, якщо виробник неправильно вирішив проблему.
Программи винагород за виявлення вразливостей та координація розкриття інформації були створені саме для зменшення таких суперечок. Зараз більшість великих технологічних компаній надають винагороди дослідникам, які повідомляють про вразливості у приватному порядку, і координують публікацію деталей після усунення вразливості.
Засновниця Luta Security Кеті Мусуріс, яка раніше сприяла впровадженню програми винагород за виявлення вразливостей у Microsoft, сказала TechCrunch, що саме використання Microsoft таких термінів, як «відповідальне розголошення», сприяє нав’язуванню відповідальності виключно дослідникам; додавання згадки про відділ боротьби з цифровими злочинами може ще більше підірвати довіру дослідників до Microsoft.
Вона попередила, що якщо дослідники перестануть повідомляти Майкрософт про вразливості, це призведе до того, що більше безпекових проблем залишаться поза межами загальної уваги, а загальний ризик зросте. Колишній співробітник Майкрософт, теперішній дослідник безпеки Кевін Бімонд також публічно критикував підхід компанії, сказавши, що зв’язування кодів експлуатації вразливостей із «злочинною діяльністю» спричинило PR- і довірчий кризис, викликаний власним неправильним веденням справи.