Sự xung đột công khai giữa Microsoft và một chuyên gia an ninh đang khiến ngành an ninh mạng tái xem xét các quy tắc tiết lộ lỗ hổng. Trọng tâm của tranh cãi là việc chuyên gia đã công khai nhiều lỗ hổng và mã khai thác trước khi Microsoft hoàn tất việc vá, trong khi Microsoft chỉ trích hành động này có thể hỗ trợ kẻ tấn công và cảnh báo sẽ truy cứu trách nhiệm thông qua các kênh pháp lý và thực thi pháp luật.
Microsoft chỉ trích việc tiết lộ công khai
Microsoft đã đăng bài viết vào thứ Tư chỉ trích nhà nghiên cứu có biệt danh “Nightmare Eclipse” vì công khai tiết lộ nhiều lỗ hổng, bao gồm BlueHammer, RedSun UnDefend và YellowKey. Các vấn đề này liên quan đến động cơ diệt virus tích hợp trong Windows là Defender, cũng như các công cụ mã hóa đĩa như BitLocker.
Microsoft cho biết các nhà nghiên cứu đã không nộp lỗ hổng thông qua kênh chính thức để cho công ty thời gian vá lỗi. Microsoft cho rằng việc công khai tiết lộ trước khi vá lỗi như vậy làm tăng nguy cơ bị tấn công thực tế. Microsoft cũng cho biết một số lỗ hổng sau đó đã bị tin tặc khai thác trong các cuộc tấn công thực tế, và cơ quan an ninh mạng Mỹ CISA cũng đã đề cập đến tình huống liên quan.
Microsoft mentions criminal referral sparking backlash
Microsoft viết trong bài đăng rằng bộ phận tội phạm kỹ thuật số của họ sẽ tiếp tục khởi kiện các cá nhân liên quan và những đối tượng “hỗ trợ các hoạt động phạm tội” của họ, đồng thời phối hợp với các cơ quan thực thi pháp luật toàn cầu khi cần thiết. Cộng đồng ngoài trời普遍 cho rằng, tuyên bố này là một mối đe dọa pháp lý nhắm vào các nhà nghiên cứu.
Trong vài tuần qua, Nightmare Eclipse đã viết trên blog rằng họ từng liên hệ với Microsoft nhưng bị đối xử không đúng mực, bao gồm việc Microsoft thu hồi quyền truy cập tài khoản Trung tâm Phản hồi Bảo mật Microsoft. Tài khoản này vốn được sử dụng để gửi báo cáo lỗ hổng đến Microsoft. Nhà nghiên cứu ngụ ý rằng họ mới chọn công khai tiết lộ lỗ hổng sau khi các kênh liên lạc bị chặn.
The public records show that these vulnerability details were posted on GitHub and GitLab, and the associated accounts have since been banned. GitHub is currently owned by Microsoft.
Cộng đồng bảo mật lo ngại hiệu ứng rùng mình
Sự cố này nhanh chóng gây ra sự bất mãn trong cộng đồng nghiên cứu bảo mật. Hạt nhân của cuộc tranh luận không mới: sau khi các nhà nghiên cứu độc lập phát hiện lỗ hổng, họ có bắt buộc phải đảm bảo nhà sản xuất đã khắc phục xong; nếu nhà sản xuất xử lý không đúng cách, thì mức độ trách nhiệm của nhà nghiên cứu nên là bao nhiêu.
Cơ chế thưởng漏洞 và tiết lộ có phối hợp ban đầu được thiết lập nhằm giảm nhẹ những mâu thuẫn loại này. Hiện nay, hầu hết các công ty công nghệ lớn đều cung cấp phần thưởng cho các nhà nghiên cứu báo cáo lỗ hổng một cách riêng tư, đồng thời phối hợp công khai chi tiết sau khi lỗ hổng đã được vá.
Katie Moussouris, người sáng lập Luta Security từng thúc đẩy cơ chế phần thưởng漏洞 tại Microsoft, cho TechCrunch biết rằng việc Microsoft tiếp tục sử dụng các cụm từ như “tiết lộ có trách nhiệm” chính bản thân nó đã dễ dàng dồn trách nhiệm một chiều lên các nhà nghiên cứu; cộng thêm việc đề cập đến bộ phận tội phạm số, có thể làm suy yếu thêm niềm tin của các nhà nghiên cứu vào Microsoft.
Cô cảnh báo rằng nếu các nhà nghiên cứu không còn sẵn sàng báo cáo lỗ hổng cho Microsoft, cuối cùng sẽ có nhiều vấn đề bảo mật hơn bị giữ ngoài tầm nhìn công khai, làm tăng tổng thể rủi ro. Kevin Beaumont, cựu nhân viên Microsoft và hiện là nhà nghiên cứu bảo mật, cũng công khai chỉ trích cách Microsoft xử lý vấn đề, cho rằng việc công ty liên kết mã khai thác lỗ hổng với "hoạt động phạm pháp" là một cuộc khủng hoảng truyền thông và niềm tin do chính cách xử lý sai lầm của họ gây ra.