Після того, як дослідник кібербезпеки опублікував серію невиправлених вразливостей у продуктах Microsoft разом із кодом для їх експлуатації, компанія пригрозила вжити проти нього юридичних заходів і звернутися до поліції. Ця завуальована погроза відновила давню дискусію про те, який обовʼязок – якщо взагалі існує – мають дослідники безпеки щодо розкриття вразливостей, що стосуються великих та заможних технологічних гігантів.
У середу Microsoft опублікувала допис у блозі з критикою на адресу дослідника під псевдонімом Nightmare Eclipse за публічне розкриття серії вразливостей, зокрема BlueHammer, RedSun, UnDefend і YellowKey. Ці недоліки зачіпали такі продукти, як вбудований в Windows антивірус Defender та інструмент шифрування диска BitLocker.
Суть претензій Microsoft у тому, що дослідник не намагався спочатку повідомити компанію про помилки, аби вона могла їх виправити. Саме таке повідомлення було б «відповідальним», як зазначається в блозі Microsoft. Інша частина аргументації компанії полягає в тому, що, оприлюднивши деталі вразливостей і способи їх експлуатації до випуску патчів, Nightmare Eclipse міг допомогти зловмисникам. За даними Microsoft і американського агентства з кібербезпеки CISA, деякі з оприлюднених Nightmare Eclipse вразливостей уже використовуються хакерами в реальних атаках.
«Наш підрозділ Digital Crimes Unit і надалі порушуватиме справи проти цих дійових осіб і тих, хто сприяє їхній злочинній діяльності, координуючись у разі потреби з правоохоронними органами по всьому світу», — написала Microsoft. (За інформацією на сайті компанії, місія Digital Crimes Unit — захист компанії різними стратегіями, включно з «цивільними позовами, технічними контрзаходами, кримінальними зверненнями та державно-приватними партнерствами».)
У серії публікацій у блозі за останні кілька тижнів — без особливих конкретних деталей — Nightmare Eclipse стверджував, що контактував з Microsoft, але компанія нібито поводилася з ним неналежно, зокрема заблокувала доступ до його акаунта в Microsoft Security Response Center — порталу, через який дослідники повідомляють про вразливості. З натяків Nightmare Eclipse випливало, що в нього не залишилося іншого виходу, окрім як розкрити вразливості публічно. Це фактично зробило їх «нульовими днями» (zero-day) — терміном, який означає вразливості, про існування яких розробник програмного забезпечення не знає на момент розкриття або експлуатації.
Дослідник опублікував вразливості в репозиторіях з відкритим кодом GitHub (який належить Microsoft) та GitLab. Облікові записи дослідника на цих платформах заблоковані.
Nightmare Eclipse і Microsoft не відповіли на запити про коментар.
Експерти з безпеки попереджають про «охолоджувальний ефект»
Цей публічний конфлікт знову підняв давню й досі дещо суперечливу дискусію: чи мають незалежні дослідники безпеки обовʼязок стежити за тим, щоб знайдені ними вразливості були виправлені? І наскільки далеко вони повинні заходити, щоб домогтися, аби компанії, продукти яких є вразливими, справді їх виправили?
Одна частина цієї дискусії вже фактично вирішена й широко визнана: дослідники заслуговують на оплату своєї праці. Хоч зараз це може звучати очевидно, на це пішли роки боротьби, зокрема в межах кампанії 2009 року під назвою «No More Free Bugs». Майже 20 років потому більшість компаній — і великі, і малі — платять винагороди за знайдені баги (bug bounty), які сьогодні можуть сягати шести цифр і більше для дослідників, які конфіденційно повідомляють про вразливості та узгоджують публікацію технічних деталей після їх виправлення.
У відповідь на останній скандал із Nightmare Eclipse численні дослідники почали ділитися власним негативним досвідом повідомлення про баги в Microsoft. Можна сказати, що значна частина спільноти фахівців з кібербезпеки відверто невдоволена тим, як Microsoft поводиться в цій ситуації. До критиків належать і ветерани галузі, як-от засновниця Luta Security Кеті Муссуріс, яка, працюючи в Microsoft у середині та наприкінці 2000-х, стала піонеркою програм винагород за баги та переконала технологічного гіганта відмовитися від концепції «відповідального розкриття», запропонувавши натомість термін «координоване розкриття».
«Використання терміна “відповідальне” розкриття — це, на мою думку, був перший промах», — сказала Муссуріс у коментарі TechCrunch, маючи на увазі блог Microsoft. — «Додавання загрози переслідування, через згадку [Digital Crimes Unit], було вже занадто й лише призведе до того, що дослідники безпеки не довірятимуть Microsoft».
Муссуріс попередила, що наслідком втрати довіри дослідників до Microsoft може стати охолоджувальний ефект, коли менше людей буде готове повідомляти про вразливості, «роблячи середовище менш безпечним для всіх нас».
Дослідник безпеки та колишній співробітник Microsoft Кевін Бомонт також розкритикував компанію в окремому блозі, назвавши її позицію «сміттєвим пожежею власного виробництва» (dumpster fire of its own making).
«Створення й поширення експлойтів-доказів концепції для “нулевих днів” тепер вважається “злочинною діяльністю”?» — написав Бомонт. — «“Відповідальне розкриття” дуже часто формулюється так, щоб захистити власника продукту, а не клієнта — використання цього підходу для спроб кримінального переслідування людей є новим дном».