Microsoft грозит судом и полицией исследователю, раскрывшему критические уязвимости
Корпорация Microsoft пригрозила судебным преследованием и обращением в полицию исследователю безопасности, опубликовавшему серию неустраненных уязвимостей в продуктах компании вместе с кодом для их эксплуатации. Этот инцидент вновь разжигает давние споры об ответственности специалистов по кибербезопасности за раскрытие информации о слабых местах в программном обеспечении крупных технологических гигантов.
Содержание
Суть претензий Microsoft
В официальном блоге, опубликованном в среду, Microsoft подвергла критике исследователя, известного под псевдонимом Nightmare Eclipse, за публичное раскрытие информации о ряде уязвимостей. Среди них — BlueHammer, RedSun UnDefend и YellowKey. Эти бреши затрагивают такие продукты, как встроенный антивирусный движок Windows Defender и инструмент шифрования дисков BitLocker.
Основная претензия Microsoft заключается в том, что исследователь не предпринял попыток сообщить об ошибках компании, чтобы та могла их исправить. Согласно позиции Microsoft, такой подход был бы «ответственным». В компании также утверждают, что публикация подробностей об уязвимостях и способах их эксплуатации до выпуска патчей могла способствовать злонамеренным хакерам. По данным Microsoft и Агентства по кибербезопасности и защите инфраструктуры США (CISA), некоторые из раскрытых Nightmare Eclipse уязвимостей уже использовались в реальных кибератаках.
Угрозы и заявления сторон
В своем заявлении Microsoft подчеркнула, что её Подразделение по борьбе с цифровыми преступлениями (Digital Crimes Unit) «будет продолжать преследовать тех, кто совершает преступные действия, и тех, кто способствует им, координируя свои действия с правоохранительными органами по всему миру». На своём сайте Microsoft отмечает, что Digital Crimes Unit занимается защитой компании, используя различные стратегии, включая гражданские иски, технические контрмеры, обращения в полицию и государственно-частное партнерство.
Со своей стороны, Nightmare Eclipse в серии недавних публикаций без конкретных деталей заявил о контактах с Microsoft, но, по его словам, компания якобы повела себя некорректно, в том числе отозвав доступ к его аккаунту в Центре реагирования на угрозы безопасности Microsoft (MSRC) — портале для сообщения об уязвимостях. Исследователь намекнул, что у него не оставалось иного выбора, кроме как предать уязвимости огласке. Это означало, что на момент публикации они фактически являлись «уязвимостями нулевого дня» — так называют обнаруженные ошибки, о которых разработчик ПО ещё не знает в момент их публичного раскрытия или эксплуатации.
Уязвимости были опубликованы на платформах GitHub (принадлежит Microsoft) и GitLab. Аккаунты исследователя на этих ресурсах были заблокированы. Ни Nightmare Eclipse, ни Microsoft не ответили на запрос о комментарии.
Дебаты в сообществе кибербезопасности
Публичный конфликт вновь поднял давние и всё ещё спорные вопросы: обязаны ли независимые исследователи безопасности гарантировать исправление обнаруженных ими уязвимостей? И как далеко они должны заходить, чтобы убедиться, что компании-разработчики действительно устраняют эти бреши?
Одна часть этой дискуссии, которая получила широкое признание, заключается в том, что исследователи заслуживают вознаграждения за свою работу. Хотя сегодня это может показаться очевидным, на это ушли годы борьбы, кульминацией которой стала кампания 2009 года под названием «Хватит бесплатных багов». Спустя почти 15 лет большинство компаний выплачивают денежные вознаграждения (так называемые bug bounty, или «баг-баунти»), которые могут достигать сотен тысяч долларов и более, специалистам, которые сообщают об ошибках конфиденциально и координируют публикацию подробностей после их исправления.
В ответ на текущий конфликт с Nightmare Eclipse множество исследователей поделились своим негативным опытом взаимодействия с Microsoft при сообщении об ошибках. Значительная часть сообщества кибербезопасности открыто выражает недовольство тем, как Microsoft справляется с этой ситуацией. Среди критиков — ветераны отрасли, такие как основатель Luta Security Кэти Муссурис. Работая в Microsoft в середине 2000-х, она стояла у истоков программ bug bounty и убедила технологического гиганта отказаться от концепции «ответственного раскрытия» в пользу «скоординированного раскрытия».
Мнения экспертов
По словам Муссурис, обращение к термину «ответственное раскрытие» было «первой ошибкой» со стороны Microsoft. Она отметила, что «добавление угрозы судебного преследования с упоминанием Подразделения по борьбе с цифровыми преступлениями было чрезмерным и приведет лишь к недоверию исследователей безопасности к Microsoft». Муссурис предупредила, что потеря доверия со стороны экспертов может привести к «охлаждающему эффекту», когда меньше людей будут сообщать об ошибках, «что сделает нас всех менее защищенными».
Кевин Бомонт, исследователь безопасности и бывший сотрудник Microsoft, также раскритиковал компанию в своём блоге, назвав её позицию «пожаром на свалке, который она устроила сама». Бомонт задался вопросом: «…Создание и распространение эксплойтов для уязвимостей нулевого дня теперь является ‘преступной деятельностью’?» Он добавил, что «ответственное раскрытие часто формулируется для защиты владельца продукта, а не клиента, и попытка использовать его для уголовного преследования людей — это новый низкий уровень».
