مایکروسافٹ اور ایک سیکیورٹی ریسرچر کے درمیان علنا تنازعہ، سائبر سیکیورٹی صنعت میں خامیوں کے افشا کے قوانین پر دوبارہ بحث کا باعث بن رہا ہے۔ تنازعہ کا مرکز یہ ہے کہ ریسرچر نے مایکروسافٹ کے درستگی کے عمل کے مکمل ہونے سے پہلے کئی خامیوں اور ان کے استعمال کے کوڈز کو علنا کر دیا، جبکہ مایکروسافٹ نے اس طرز عمل کو تنقید کا نشانہ بنایا ہے، جس سے حملہ آوروں کو مدد مل سکتی ہے، اور اس نے قانونی اور ایف ایل چینلز کے ذریعے جوابی کارروائی کی تهدید کی ہے۔
مایکروسافٹ نے علیحدہ افشا کو نشانہ بنایا
مایکروسافٹ نے بدھ کو ایک بلاگ پوسٹ جاری کر کے "Nightmare Eclipse" نامی ریسرچر کی تنقید کی، جس نے BlueHammer، RedSun UnDefend اور YellowKey سمیت کئی خامیوں کا اعلان کیا۔ یہ مسائل ونڈوز کے اندر شامل اینٹی وائرس انجن Defender اور ڈسک اینکرپشن ٹول BitLocker جیسے پروڈکٹس سے متعلق ہیں۔
مائیکروسافٹ کا کہنا ہے کہ تحقیق کاروں نے خرابیوں کو درست کرنے کے لیے معمول کے چینلز کے ذریعے پہلے جمع نہیں کیا۔ مائیکروسافٹ کا خیال ہے کہ اس قسم کی اشاعت، جب تک خرابیاں درست نہ ہو جائیں، عملی حملوں کے خطرے کو بڑھاتی ہے۔ مائیکروسافٹ نے مزید کہا کہ ان میں سے کچھ خرابیاں بعد میں ہیکرز نے حقیقی حملوں میں استعمال کر لیں، اور امریکی سائبر سیکورٹی ادارہ CISA نے بھی اس بارے میں اشارہ کیا ہے۔
مایکروسافٹ نے جرمی منتقلی کے باعث مخالفت کا اظہار کیا
مایکروسافٹ نے اپنے بلاگ میں لکھا کہ اس کا ڈیجیٹل جرائم ڈیپارٹمنٹ متعلقہ افراد اور "ان کی جرائم میں مدد کرنے والے" کے خلاف مقدمات جاری رکھے گا اور جہاں ضرورت ہو گلوبل ایکزیکیوٹو ایجنسیز کے ساتھ تعاون کرے گا۔ عام طور پر اس بیان کو تحقیق کاروں کے خلاف قانونی دھمکی سمجھا جا رہا ہے۔
نائٹ میر ایکلیپس نے چند ہفتوں سے اپنے بلاگ میں کہا کہ انہوں نے مائیکروسافٹ سے رابطہ کیا تھا، لیکن ان کے ساتھ نامناسب سلوک کیا گیا، جس میں مائیکروسافٹ نے ان کے مائیکروسافٹ سیکورٹی ریسپانس سینٹر اکاؤنٹ کے اختیارات منسوخ کر دیے۔ یہ اکاؤنٹ اصل میں مائیکروسافٹ کو خامیوں کی رپورٹس جمع کرانے کے لیے استعمال ہوتا تھا۔ ریسرچر نے اشارہ کیا کہ رابطے کے ذرائع بند ہونے کے بعد ہی انہوں نے خامیوں کا علنا کرنے کا فیصلہ کیا۔
عوامی اطلاعات کے مطابق، ان خامیوں کی معلومات GitHub اور GitLab پر شائع کی گئیں، اور بعد میں متعلقہ اکاؤنٹس کو بند کر دیا گیا۔ GitHub اب مائیکروسافٹ کے ملکیت میں ہے۔
سیکورٹی سرکلز کو ہِنچن ایفیکٹ کی فکر ہے
اس بحران نے فوری طور پر سیکیورٹی ریسرچ کمیونٹی کی ناراضگی کو جنم دیا۔ بحث کا مرکزی نقطہ نئے نہیں ہے: ایک مستقل ریسرچر کو کیا ضرورت ہے کہ وہ ڈویلپر کے اصلاح کا انتظار کرے؛ اگر ڈویلپر نے اسے غلط طریقے سے سنبھالا، تو ریسرچر کو کتنی ذمہ داری قبول کرنی چاہیے۔
ایسے تنازعات کو کم کرنے کے لیے ایک زمانہ سے ہی ویولنٹی بونس اور ہم آہنگ افشا مکینزم قائم کیا گیا تھا۔ آج، زیادہ تر بڑی ٹیکنالوجی کمپنیاں ان تحقیق کاروں کو جو خفیہ طور پر خامیاں رپورٹ کرتے ہیں، انعامات دیتی ہیں اور خامیوں کے درست ہونے کے بعد ان کی تفصیلات کو ہم آہنگ طور پر شائع کرتی ہیں۔
لیوٹا سیکیورٹی کے بانی کیٹی موسورس، جنہوں نے مائیکروسافٹ میں وولنریبیلٹی بونٹی پروگرام کو فروغ دیا، نے ٹیک کرنش کو بتایا کہ مائیکروسافٹ کا دوبارہ "ذمہ دارانہ افشا" جیسے الفاظ استعمال کرنا خود بخود ذمہ داری صرف ریسرچر پر ڈال دیتا ہے؛ اور ڈیجیٹل جرائم ڈیپارٹمنٹ کا ذکر کرنا ریسرچرز کے لیے مائیکروسافٹ پر اعتماد کو مزید کمزور کر سکتا ہے۔
اس نے انتباہ دیا کہ اگر ریسرچر مائیکروسافٹ کو خامیوں کی رپورٹ کرنے کو تیار نہ رہے، تو نتیجہ میں زیادہ سے زیادہ سیکیورٹی مسائل عوامی نظر سے باہر رہ جائیں گے اور کل مجموعی خطرہ بڑھ جائے گا۔ سابقہ مائیکروسافٹ ملازم، موجودہ سیکیورٹی ریسرچر کیوین بیومونٹ نے بھی مائیکروسافٹ کے طریقہ کار کو علناً تنقید کا نشانہ بنایا اور کہا کہ کمپنی نے خامیوں کے استعمال کو "جرم کی سرگرمیوں" سے براہ راست جوڑ دیا ہے، جو اپنے غلط انتظام کی وجہ سے ایک پبلک ریلیشنز اور اعتماد کا بحران ہے۔