Компания Microsoft подверглась критике за угрозы уголовного преследования исследователя в сфере безопасности.

После того, как исследователь в области безопасности опубликовал серию неустраненных ошибок в продуктах Microsoft, а также код для их эксплуатации, компания теперь угрожает подать в суд и привлечь их к ответственности. Завуалированная угроза Microsoft вновь разжигает давний спор о том, несут ли исследователи в области безопасности ответственность за раскрытие уязвимостей, затрагивающих крупные и богатые технологические гиганты.

В среду Microsoft опубликовала в блоге сообщение с критикой исследователя, известного под ником «Nightmare Eclipse», за публичное раскрытие серии уязвимостей, включая BlueHammer, RedSun, UnDefend и YellowKey. Эти уязвимости затронули такие продукты, как встроенный в Windows антивирус Defender и инструмент шифрования дисков BitLocker.

Суть претензий Microsoft заключается в том, что исследователь не попытался сообщить об ошибках, чтобы компания могла их исправить. Это было бы «ответственно», как говорится в блоге Microsoft. Другая сторона аргумента компании состоит в том, что, опубликовав подробности об ошибках и способах их использования до их исправления, Nightmare Eclipse, возможно, помог злоумышленникам. По данным Microsoft, а также американского агентства по кибербезопасности CISA, некоторые из обнаруженных в Nightmare Eclipse уязвимостей впоследствии использовались хакерами в реальных атаках.

«Наше подразделение по борьбе с цифровыми преступлениями продолжит возбуждать дела против этих лиц и тех, кто способствует их преступной деятельности, координируя свои действия по мере необходимости с правоохранительными органами по всему миру», — написала Microsoft. (Согласно веб-сайту подразделения, подразделение Microsoft по борьбе с цифровыми преступлениями призвано защищать компанию с помощью различных стратегий, включая «гражданские иски, технические контрмеры, передачу дел в суды и государственно-частное партнерство»).

В серии сообщений в блогах, опубликованных за последние пару недель (без предоставления подробностей), Nightmare Eclipse утверждали, что связались с Microsoft, но компания якобы плохо с ними обошлась, в том числе отозвала доступ к их учетной записи в Центре реагирования на инциденты безопасности Microsoft (Microsoft Security Response Center) — портале, где исследователи могут сообщать об уязвимостях технологическому гиганту. Nightmare Eclipse подразумевали, что у них не было другого выбора, кроме как обнародовать информацию об уязвимостях, что, по сути, означало, что на тот момент они стали уязвимостями нулевого дня — специфическим термином для обозначения недостатков безопасности, неизвестных производителю программного обеспечения на момент их обнаружения или использования.

Исследователи опубликовали информацию об ошибках в репозиториях с открытым исходным кодом GitHub (принадлежит Microsoft) и GitLab. Учетные записи исследователей на этих платформах были заблокированы.

Компании Nightmare Eclipse и Microsoft не ответили на запрос о комментариях.

Ветераны кибербезопасности предупреждают о сдерживающем эффекте.

Этот публичный спор вновь поднимает давнюю и до сих пор довольно спорную тему: обязаны ли независимые исследователи в области безопасности следить за тем, чтобы обнаруженные ими уязвимости были устранены? И насколько далеко они должны заходить, чтобы убедиться, что компании, чья продукция уязвима, действительно их исправляют?

Один из аспектов этой дискуссии, который уже давно урегулирован и получил широкое признание, заключается в том, что исследователи заслуживают оплаты за свою работу. Хотя сегодня это может показаться очевидным, на это ушли годы борьбы, частично отраженные в кампании, запущенной в 2009 году под названием «Больше никаких бесплатных ошибок». Почти 20 лет спустя большинство компаний, как малых, так и крупных, выплачивают исследователям, которые в частном порядке сообщают об ошибках и координируют публикацию подробной информации после их исправления, финансовые вознаграждения, которые сегодня могут достигать шестизначных сумм и более.

В ответ на последний скандал с Nightmare Eclipse бесчисленное количество исследователей поделились своим негативным опытом сообщения об ошибках в Microsoft. Справедливо сказать, что значительная часть сообщества кибербезопасности крайне недовольна тем, как Microsoft решает эту проблему. Это касается и ветеранов кибербезопасности, таких как основательница Luta Security Кэти Муссурис, которая, работая в Microsoft в середине-конце 2000-х годов, стала пионером программ вознаграждения за обнаружение ошибок и убедила технологического гиганта отказаться от концепции «ответственного раскрытия информации», представив этот процесс как «скоординированное раскрытие информации».

«Упоминание термина „ответственное“ раскрытие информации стало первым шагом, на мой взгляд», — сказал Муссурис в интервью TechCrunch, имея в виду сообщение в блоге Microsoft. «Добавление угрозы судебного преследования путем упоминания [подразделения по борьбе с цифровыми преступлениями] было чрезмерным и приведет лишь к тому, что исследователи в области безопасности перестанут доверять Microsoft».

Муссурис предупредил, что последствия потери доверия исследователей безопасности к Microsoft могут привести к эффекту запугивания, когда меньше людей будут сообщать об ошибках, «что сделает систему менее безопасной для всех нас».

Исследователь в области безопасности и бывший сотрудник Microsoft Кевин Бомонт также раскритиковал Microsoft в своем блоге, назвав позицию компании «полным провалом, который она сама же и устроила».

«Создание и распространение эксплойтов для уязвимостей нулевого дня теперь считается „преступной деятельностью“?» — написал Бомонт. «Ответственное раскрытие информации зачастую формулируется для защиты владельца продукта, а не клиента — использование этого для попыток уголовного преследования людей — это новый уровень низости».

Источник: techcrunch.com