Scandal Microsoft: presiuni asupra unui expert în securitate

Microsoft a publicat miercuri un articol pe blog în care critica un cercetător în domeniul securității cunoscut sub numele de „Nightmare Eclipse” pentru că a dezvăluit public o serie de vulnerabilități necorectate din Windows Defender și BitLocker. Compania a apelat apoi la Unitatea sa pentru Infracțiuni Digitale, care se ocupă de sesizările penale și de coordonarea cu forțele de ordine. Comunitatea de securitate cibernetică a reacționat cu indignare.

După ce „Nightmare Eclipse”, un cercetător în domeniul securității cibernetice, a publicat o serie de bug-uri necorectate în produsele Microsoft, împreună cu codul necesar pentru a le exploata, compania amenință acum că va întreprinde acțiuni legale și va chema poliția, potrivit TechCrunch. Amenințarea voalată a Microsoft reaprinde o dezbatere de lungă durată cu privire la responsabilitatea pe care, dacă există, o au cercetătorii în domeniul securității de a dezvălui vulnerabilități care afectează giganții tehnologici mari și bogați.

Postarea pe blog a Microsoft îl critica pentru că a dezvăluit public o serie de bug-uri, printre care BlueHammer, RedSun, UnDefend și YellowKey. Vulnerabilitățile afectau produse precum motorul antivirus încorporat în Windows, Defender, și instrumentul de criptare a discurilor, BitLocker.

Esența plângerilor Microsoft este că cercetătorul nu a încercat să raporteze bug-urile pentru ca compania să le poată remedia. Asta ar fi fost „responsabil”, după cum se menționează în blogul Microsoft. Cealaltă parte a argumentului companiei este că, prin publicarea detaliilor despre bug-uri și a modului de exploatare a acestora înainte ca acestea să fie remediate, Nightmare Eclipse ar fi putut ajuta hackeri rău intenționați. Unele dintre vulnerabilitățile dezvăluite de Nightmare Eclipse au fost utilizate ulterior de hackeri în atacuri reale, potrivit Microsoft, precum și agenției americane de securitate cibernetică CISA.

„Unitatea noastră pentru infracțiuni digitale va continua să inițieze acțiuni împotriva acestor actori și a celor care le facilitează activitatea criminală, coordonându-se, după caz, cu forțele de ordine din întreaga lume”, a scris Microsoft. (Unitatea pentru infracțiuni digitale a Microsoft are misiunea de a proteja compania prin diferite strategii, inclusiv „acțiuni civile, contramăsuri tehnice, sesizări penale și parteneriate public-private”, potrivit site-ului său web).

Într-o serie de postări pe blog publicate în ultimele două săptămâni, fără a oferi multe detalii specifice, Nightmare Eclipse a susținut că a fost în contact cu Microsoft, dar compania l-ar fi tratat necorespunzător, inclusiv prin revocarea accesului la contul său de la Microsoft Security Response Center (MSRC), portalul unde cercetătorii pot raporta vulnerabilități gigantului tehnologic. Implicația Nightmare Eclipse a fost că nu a avut de ales decât să facă publice vulnerabilitățile, ceea ce însemna, în esență, că la acel moment erau zero-day, un termen specific pentru defectele de securitate care sunt necunoscute producătorului de software afectat în momentul în care sunt dezvăluite sau exploatate.

Cercetătorul a publicat bug-urile pe depozitele open source GitHub (deținut de Microsoft) și GitLab. Conturile Nightmare Eclipse de pe aceste platforme au fost blocate.

Veteranii din domeniul securității cibernetice avertizează asupra unei încercări de intimidare

Această dispută publică readuce în discuție o dezbatere de lungă durată și încă oarecum controversată: au cercetătorii independenți în domeniul securității datoria de a se asigura că vulnerabilitățile pe care le găsesc sunt remediate? Și cât de departe ar trebui să meargă pentru a se asigura că companiile ale căror produse sunt vulnerabile le remediază efectiv?

O parte a acestei dezbateri, care a fost pe deplin soluționată și larg recunoscută, este că cercetătorii merită să fie plătiți pentru munca lor. Deși poate părea evident în zilele noastre, a fost nevoie de ani de luptă, care a început cu campania lansată în 2009, numită „No More Free Bugs”. La aproape 20 de ani distanță, majoritatea companiilor, mici și mari, plătesc recompense financiare de tip „bug bounty”, care pot ajunge astăzi la sume de șase cifre sau mai mult, cercetătorilor care dezvăluie în mod privat bug-urile și coordonează publicarea detaliilor acestora odată ce bug-urile sunt remediate.

Ca răspuns la această ultimă controversă legată de Nightmare Eclipse, nenumărați cercetători și-au împărtășit experiențele neplăcute legate de raportarea bug-urilor către Microsoft. O mare parte a comunității de securitate cibernetică este nemulțumită de modul în care Microsoft gestionează această problemă. Printre aceștia se numără veterani ai securității cibernetice, precum fondatoarea Luta Security, Katie Moussouris, care, în timp ce lucra la Microsoft la mijlocul și sfârșitul anilor 2000, a fost pionieră în programele de recompense pentru bug-uri și a convins gigantul tehnologic să renunțe la conceptul de „dezvăluire responsabilă”, formulând procesul ca „dezvăluire coordonată”.

„Folosirea termenului de dezvăluire «responsabilă» a fost prima greșeală, în opinia mea”, a declarat Moussouris pentru TechCrunch, referindu-se la postarea de pe blogul Microsoft. „Adăugarea amenințării cu urmărirea penală prin menționarea [Unității de Crimă Digitală] a fost exagerată și nu va face decât să determine cercetătorii în securitate să nu mai aibă încredere în Microsoft.”

Moussouris a avertizat că pierderea încrederii cercetătorilor în securitate față de Microsoft ar putea avea un efect descurajator, determinând mai puține persoane să raporteze bug-uri, „făcând totul mai puțin sigur pentru noi toți”.

Moussouris a adăugat, în declarația preluată de The Register, că această ultimă scrisoare, privită în contextul postărilor anterioare de pe blog, „desenează imaginea cuiva care crede că a fost împins la această extremă. Este vocea cuiva care crede că toate canalele legitime i-au fost închise: contul GitHub șters, plățile reținute, creditul retras, apoi acuzat public de încălcarea CVD după ce Microsoft i-a tăiat capacitatea de a coordona. Nemulțumirile cercetătorului sunt serioase și specifice.”

În cele din urmă, „bug-urile sunt ale Microsoft”, a spus Moussouris. „Ei au scris codul și ei dețin riscul față de clienți. Adesea, cercetătorii care au lucrat anterior cu un furnizor reacționează extrem doar atunci când simt că nu au altă opțiune. Puterea pe care o dețin nu este deloc proporțională cu cea a furnizorului. Aceasta este o dinamică de tipul David și Goliat pe care nu ne place să o vedem, mai ales că utilizatorii sunt cei care pierd atunci când negocierile de coordonare eșuează.”

„Microsoft va face orice pentru a împiedica oamenii să publice vulnerabilități zero-day, cu excepția remedierii MSRC”, a scris pe Twitter Zack Korman, director tehnic al furnizorului de securitate cibernetică Pistachio. Alți cercetători împărtășesc poveștile lor despre raportarea unei vulnerabilități către Microsoft, dar compania refuză să plătească o recompensă sau să remedieze oficial problema și lansează ulterior, pe ascuns, un patch.

Cercetătorul în securitate și fostul angajat Microsoft Kevin Beaumont a criticat, de asemenea, Microsoft într-o postare pe blog, descriind poziția companiei ca fiind „un dezastru creat de ea însăși”.

„Crearea și distribuirea de exploatări de tip proof-of-concept pentru vulnerabilități zero-day este acum o «activitate criminală»?”, a scris Beaumont. „Divulgarea responsabilă este adesea concepută pentru a proteja proprietarul produsului, nu clientul. Utilizarea ei pentru a încerca să urmărești penal oamenii este un nou minim josnic.”

Inginerul de suport de la Nvidia, Eric Warnke, a scris, de asemenea, despre Microsoft: „Nu poți obliga cercetătorii independenți în domeniul securității. Poți doar să faci colaborarea cu tine mai mult sau mai puțin atractivă. Microsoft a făcut-o mai puțin atractivă, iar acum scrie postări pe blog despre responsabilitatea partajată. Asta e un «La revedere», nu un program de raportare a bug-urilor conceput pentru a încuraja raportarea.”

Tags: Bug bounty hackeri Microsoft securitate cibernetica vulnerabilitati

Urmărește Go4IT.ro pe Google News

Iți recomandăm