В среду компания Microsoft опубликовала сообщение в блоге, в котором раскритиковала исследователя, известного под ником «Nightmare Eclipse», за публичное раскрытие серии уязвимостей, включая BlueHammer, RedSunUnDefend и YellowKey. Эти недостатки затронули такие продукты, как встроенный в Windows антивирусный движок Defender и инструмент шифрования дисков BitLocker.
Суть претензий Microsoft заключается в том, что исследователь не предпринял попыток сообщить об уязвимостях, чтобы компания могла их исправить. Это было бы «ответственно», как указано в блоге Microsoft. Другая часть аргументации компании состоит в том, что, опубликовав детали уязвимостей и способы их эксплуатации до выпуска исправлений, Nightmare Eclipse мог помочь злоумышленникам. По данным Microsoft, а также Агентства по кибербезопасности и защите инфраструктуры США (CISA), некоторые из уязвимостей, раскрытых Nightmare Eclipse, впоследствии использовались хакерами в реальных атаках.
«Наше подразделение по борьбе с цифровыми преступлениями продолжит возбуждать дела против этих субъектов и тех, кто способствует их преступной деятельности, координируя действия с правоохранительными органами по всему миру по мере необходимости», — написала Microsoft. (Миссия подразделения по борьбе с цифровыми преступлениями Microsoft заключается в защите компании с помощью различных стратегий, включая «гражданско-правовые действия, технические контрмеры, уголовные обращения и государственно-частное партнерство», согласно информации на ее веб-сайте).
В серии блогов, опубликованных за последние пару недель, — без предоставления многих конкретных деталей — Nightmare Eclipse утверждал, что контактировал с Microsoft, но компания якобы обращалась с ним некорректно, в том числе отозвала доступ к его учетной записи в Центре реагирования на инциденты безопасности Microsoft (MSRC) — портале, через который исследователи могут сообщать о уязвимостях технологическому гиганту. Подразумевалось, что у Nightmare Eclipse не было другого выбора, кроме как публично раскрыть уязвимости, что по сути означало, что на тот момент они стали zero-day — особым термином для уязвимостей безопасности, неизвестных затронутому производителю программного обеспечения на момент их раскрытия или эксплуатации.
Исследователи опубликовали информацию об уязвимостях в репозиториях открытого исходного кода GitHub (принадлежит Microsoft) и GitLab. Аккаунты исследователей на этих платформах были заблокированы.
Nightmare Eclipse и Microsoft не ответили на запрос о комментарии.
Ветераны кибербезопасности предупреждают о «охлаждающем эффекте»
Эта публичная ссора возвращает к давнему и все еще несколько спорному вопросу: несут ли независимые исследователи безопасности обязанность добиваться исправления найденных ими уязвимостей? И насколько далеко они должны зайти, чтобы убедиться, что компании, чьи продукты уязвимы, действительно их исправляют?
Одна часть этого спора, которая была полностью урегулирована и широко признана, заключается в том, что исследователи заслуживают оплаты за свою работу. Хотя сегодня это может показаться очевидным, потребовались годы борьбы, частично запечатленной в кампании, запущенной в 2009 году под названием «Никаких больше бесплатных багов». Почти 20 лет спустя большинство компаний, как малых, так и крупных, выплачивают финансовые вознаграждения по программе «bug bounty» (охота за ошибками), которые сегодня могут достигать шестизначных сумм или более, исследователям, которые конфиденциально сообщают об ошибках и координируют публикацию их деталей после исправления уязвимостей.
В ответ на этот последний спор с Nightmare Eclipse бесчисленное множество исследователей поделились своим негативным опытом сообщения об уязвимостях в Microsoft. Можно с уверенностью сказать, что значительная часть сообщества кибербезопасности открыто недовольна тем, как Microsoft решает этот вопрос. Это включает ветеранов кибербезопасности, таких как основатель Luta Security Кэти Муссурис, которая, работая в Microsoft в середине-конце 2000-х годов, стала пионером программ «bug bounty» и убедила технологического гиганта отказаться от концепции «ответственного раскрытия» (responsible disclosure), сформулировав этот процесс как «скоординированное раскрытие» (coordinated disclosure).
«Использование термина „ответственное“ раскрытие было первым ударом в моих глазах», — сказала Муссурис TechCrunch, ссылаясь на сообщение Microsoft в блоге. «Добавление угрозы судебного преследования с упоминанием [Подразделения по борьбе с цифровыми преступлениями] было чрезмерным и приведет лишь к тому, что исследователи безопасности перестанут доверять Microsoft».
Муссурис предупредила, что последствия потери доверия Microsoft со стороны исследователей безопасности могут привести к «охлаждающему эффекту» в виде уменьшения числа людей, сообщающих об ошибках, «что сделает нас всех менее защищенными».
Исследователь безопасности и бывший сотрудник Microsoft Кевин Бьюмонт также раскритиковал Microsoft в своем блоге, назвав позицию компании «собственным пожаром из мусорного бака».
«…Создание и распространение PoC-эксплойтов для уязвимостей нулевого дня теперь „преступная деятельность“?» — написал Бьюмонт. «Ответственное раскрытие довольно часто формулируется для защиты владельца продукта, а не клиента — использование этого для попытки уголовного преследования людей — это новый низкий уровень».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lorenzo Franceschi-Bicchierai




