Архив рубрики ~Лента новостей~

Компания Microsoft подверглась критике за угрозы уголовного преследования исследователя в сфере безопасности.

Компания Microsoft подверглась критике за угрозы уголовного преследования исследователя в сфере безопасности.

После того, как исследователь в области безопасности опубликовал серию неустраненных ошибок в продуктах Microsoft, а также код для их эксплуатации, компания теперь угрожает подать в суд и привлечь их к ответственности. Завуалированная угроза Microsoft вновь разжигает давний спор о том, несут ли исследователи в области безопасности ответственность за раскрытие уязвимостей, затрагивающих крупные и богатые технологические гиганты.

В среду Microsoft опубликовала в блоге сообщение с критикой исследователя, известного под ником «Nightmare Eclipse», за публичное раскрытие серии уязвимостей, включая BlueHammer, RedSun, UnDefend и YellowKey. Эти уязвимости затронули такие продукты, как встроенный в Windows антивирус Defender и инструмент шифрования дисков BitLocker.

Суть претензий Microsoft заключается в том, что исследователь не попытался сообщить об ошибках, чтобы компания могла их исправить. Это было бы «ответственно», как говорится в блоге Microsoft. Другая сторона аргумента компании состоит в том, что, опубликовав подробности об ошибках и способах их использования до их исправления, Nightmare Eclipse, возможно, помог злоумышленникам. По данным Microsoft, а также американского агентства по кибербезопасности CISA, некоторые из обнаруженных в Nightmare Eclipse уязвимостей впоследствии использовались хакерами в реальных атаках.

«Наше подразделение по борьбе с цифровыми преступлениями продолжит возбуждать дела против этих лиц и тех, кто способствует их преступной деятельности, координируя свои действия по мере необходимости с правоохранительными органами по всему миру», — написала Microsoft. (Согласно веб-сайту подразделения, подразделение Microsoft по борьбе с цифровыми преступлениями призвано защищать компанию с помощью различных стратегий, включая «гражданские иски, технические контрмеры, передачу дел в суды и государственно-частное партнерство»).

В серии сообщений в блогах, опубликованных за последние пару недель (без предоставления подробностей), Nightmare Eclipse утверждали, что связались с Microsoft, но компания якобы плохо с ними обошлась, в том числе отозвала доступ к их учетной записи в Центре реагирования на инциденты безопасности Microsoft (Microsoft Security Response Center) — портале, где исследователи могут сообщать об уязвимостях технологическому гиганту. Nightmare Eclipse подразумевали, что у них не было другого выбора, кроме как обнародовать информацию об уязвимостях, что, по сути, означало, что на тот момент они стали уязвимостями нулевого дня — специфическим термином для обозначения недостатков безопасности, неизвестных производителю программного обеспечения на момент их обнаружения или использования.

Исследователи опубликовали информацию об ошибках в репозиториях с открытым исходным кодом GitHub (принадлежит Microsoft) и GitLab. Учетные записи исследователей на этих платформах были заблокированы.

Компании Nightmare Eclipse и Microsoft не ответили на запрос о комментариях.

Ветераны кибербезопасности предупреждают о сдерживающем эффекте.

Этот публичный спор вновь поднимает давнюю и до сих пор довольно спорную тему: обязаны ли независимые исследователи в области безопасности следить за тем, чтобы обнаруженные ими уязвимости были устранены? И насколько далеко они должны заходить, чтобы убедиться, что компании, чья продукция уязвима, действительно их исправляют?

Один из аспектов этой дискуссии, который уже давно урегулирован и получил широкое признание, заключается в том, что исследователи заслуживают оплаты за свою работу. Хотя сегодня это может показаться очевидным, на это ушли годы борьбы, частично отраженные в кампании, запущенной в 2009 году под названием «Больше никаких бесплатных ошибок». Почти 20 лет спустя большинство компаний, как малых, так и крупных, выплачивают исследователям, которые в частном порядке сообщают об ошибках и координируют публикацию подробной информации после их исправления, финансовые вознаграждения, которые сегодня могут достигать шестизначных сумм и более.

В ответ на последний скандал с Nightmare Eclipse бесчисленное количество исследователей поделились своим негативным опытом сообщения об ошибках в Microsoft. Справедливо сказать, что значительная часть сообщества кибербезопасности крайне недовольна тем, как Microsoft решает эту проблему. Это касается и ветеранов кибербезопасности, таких как основательница Luta Security Кэти Муссурис, которая, работая в Microsoft в середине-конце 2000-х годов, стала пионером программ вознаграждения за обнаружение ошибок и убедила технологического гиганта отказаться от концепции «ответственного раскрытия информации», представив этот процесс как «скоординированное раскрытие информации».

«Упоминание термина „ответственное“ раскрытие информации стало первым шагом, на мой взгляд», — сказал Муссурис в интервью TechCrunch, имея в виду сообщение в блоге Microsoft. «Добавление угрозы судебного преследования путем упоминания [подразделения по борьбе с цифровыми преступлениями] было чрезмерным и приведет лишь к тому, что исследователи в области безопасности перестанут доверять Microsoft».

Муссурис предупредил, что последствия потери доверия исследователей безопасности к Microsoft могут привести к эффекту запугивания, когда меньше людей будут сообщать об ошибках, «что сделает систему менее безопасной для всех нас».

Исследователь в области безопасности и бывший сотрудник Microsoft Кевин Бомонт также раскритиковал Microsoft в своем блоге, назвав позицию компании «полным провалом, который она сама же и устроила».

«Создание и распространение эксплойтов для уязвимостей нулевого дня теперь считается „преступной деятельностью“?» — написал Бомонт. «Ответственное раскрытие информации зачастую формулируется для защиты владельца продукта, а не клиента — использование этого для попыток уголовного преследования людей — это новый уровень низости».

Источник: techcrunch.com

Оцените материал:

Поделиться
Понравилась статья? Расскажите другим
ВКонтакте
Читайте также
Новости робототехники Телеуправляемый андроид Unitree G1 прооперировал свиней. Им лапароскопически удалили желчный пузырь Новости робототехники Weave Robotics запускает Айзека, своего первого представителя робота-гуманоида Новости робототехники Страх перед человекоподобными роботами подтолкнул рабочих к забастовке на автомобильном заводе Hyundai. Новости робототехники Основатель Максимо рассказывает, как робототехника строит строительство солнечной энергетики. Архив рубрики ~Обо всем~ Астрономы нашли кандидата в самый далекий галактический бар. Он существовал спустя почти 1,2 миллиарда лет после Большого Взрыва Новости робототехники По заключению Национального совета по безопасности на транспорте (NTSB), водитель Tesla, который объяснил аварию тем, что автопилот нажал на педаль газа на 100%. Новости робототехники Mondo Robotics представляет собой Beni, вездеходного робота с электрической розеткой и искусственным интеллектом для потребителей. Архив рубрики ~Обо всем~ «Парачастицы» могут стать представителями третьего царства квантовых частиц Архив рубрики ~Коротко из Telegram~ Нейросеть обучили подсчету и оценке качества семян Архив рубрики ~Коротко из Telegram~ «Комендантский час» на соцсети для подростков 16-17 лет хотят ввести… Архив рубрики ~Коротко из Telegram~ В Южной Корее создадут бесплатного ИИ-бота для всех граждан. Архив рубрики ~Коротко из Telegram~ В США 73% технических вакансий требуют навыков работы с ИИ,… Архив рубрики ~Обо всем~ Компания SpaceX внезапно прервала второй запуск Starship V3 после запуска двигателя. Архив рубрики ~Коротко из Telegram~ Samsung хочет обучать ИИ на данных здоровья Новости робототехники Телеуправляемый андроид Unitree G1 прооперировал свиней. Им лапароскопически удалили желчный пузырь Новости робототехники Weave Robotics запускает Айзека, своего первого представителя робота-гуманоида Новости робототехники Страх перед человекоподобными роботами подтолкнул рабочих к забастовке на автомобильном заводе Hyundai. Новости робототехники Основатель Максимо рассказывает, как робототехника строит строительство солнечной энергетики. Архив рубрики ~Обо всем~ Астрономы нашли кандидата в самый далекий галактический бар. Он существовал спустя почти 1,2 миллиарда лет после Большого Взрыва Новости робототехники По заключению Национального совета по безопасности на транспорте (NTSB), водитель Tesla, который объяснил аварию тем, что автопилот нажал на педаль газа на 100%. Новости робототехники Mondo Robotics представляет собой Beni, вездеходного робота с электрической розеткой и искусственным интеллектом для потребителей. Архив рубрики ~Обо всем~ «Парачастицы» могут стать представителями третьего царства квантовых частиц Архив рубрики ~Коротко из Telegram~ Нейросеть обучили подсчету и оценке качества семян Архив рубрики ~Коротко из Telegram~ «Комендантский час» на соцсети для подростков 16-17 лет хотят ввести… Архив рубрики ~Коротко из Telegram~ В Южной Корее создадут бесплатного ИИ-бота для всех граждан. Архив рубрики ~Коротко из Telegram~ В США 73% технических вакансий требуют навыков работы с ИИ,… Архив рубрики ~Обо всем~ Компания SpaceX внезапно прервала второй запуск Starship V3 после запуска двигателя. Архив рубрики ~Коротко из Telegram~ Samsung хочет обучать ИИ на данных здоровья

Оставить комментарий