Wykrywają luki. Microsoft uprzykrza życie specom bezpieczeństwa

Odkryj lukę, a Microsoft potraktuje Cię jak przestępcę 

Jak donosi Jez Corden z portalu Windows Central, Microsoft ma wizerunkowy problem z odkrywaniem luk i podatności w swoich systemach. W teorii oferuje program nagród, gdzie "etyczni" hakerzy mogą na papierze zarobić spore pieniądze za wykrycie i podanie informacji o lukach bezpieczeństwa. Jednak rzeczywistość bywa nieco odmienna.

Corden twierdzi, że badacze cyberbezpieczeństwa nie otrzymują adekwatnego wynagrodzenia, a co więcej – Microsoft nie traktuje ich najlepiej.

Redaktor Windows Central przywołuje przykład Nightmare Eclipse, który wykrył informacje aż o sześciu podatnościach bezpieczeństwa w Windowsie i innych systemach firmy. Jak powiedział badacz bezpieczeństwa w wywiadzie z PCMag, zazwyczaj wygląda to tak, że "błaga Microsoft o załatanie luk", ale ostatnio miał usłyszeć od firmy, że "zrujnują jego życie" i zasugerował, że nie zapłacili mu, a na dodatek aktywnie mu się naprzykrzali. Nie wyjawił dokładnie, w jaki sposób, ale przez to zdecydował się nie przekazywać ostatnich odkryć w kwestii luk bezpieczeństwa Microsoftowi, lecz ujawnił je publicznie w internecie. Dalsza część historii sugeruje, że Nightmare Eclipse został potraktowany jako przestępca i był ścigany przez organy prawa.

Corden zaznacza, że historia ta nie jest zweryfikowana, ale dodaje również, że to nie jedyny taki przypadek, gdy tak cierpkie słowa padły w kierunku Microsoftu w temacie traktowania odkrywców luk bezpieczeństwa.

Wydawałoby się, że przy niedawnych atakach na infrastrukturę Azure, trzymanie dobrych relacji z etycznymi hakerami powinno być w jak najlepszym interesie giganta z Redmond.

Firma odniosła się do słów Nightmare Eclipse w niedawnym komunikacie prasowym, podkreślając, że podatności zwane RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma i MiniPlasma zostały ujawnione w sposób nieodpowiedzialny i stworzyły zagrożenie dla użytkowników. Microsoft podkreśla, że nieskoordynowane ujawnianie informacji o lukach bezpieczeństwa pomaga cyberatakującym, którzy mogą wykorzystać tę wiedzę w złej wierze, a to ma poważne konsekwencje. Korporacja podkreśla także, że wydział Digital Crimes Unit będzie współpracował z organami ścigania, aby karać twórców cyberataków, ale i osoby, które te cyberataki pomagają wykonywać. Ta ostatnia wzmianka sugeruje, że osoby ujawniające podatności – jak Nightmare Eclipse – mogą otrzymać zarzuty karne.

W kontekście USA jest to dość złożona sprawa, bo normalnie Nightmare Eclipse i jego działalność powinna być chroniona w myśl 1. poprawki do Konstytucji USA, ale z drugiej strony mógł on naruszyć Ustawę o oszustwach i nadużyciach komputerowych (z 1984/1986), w zależności od tego, w jaki sposób uzyskał wiedzę o tych lukach.

Wypowiedź Microsoftu skrytykował były pracownik firmy, Kevin Beaumont, który piastował stanowisko starszego analityka bezpieczeństwa:

Zaraz, zaraz… tworzenie i dystrybucja exploitów dla luk dnia zerowego to teraz "działalność przestępcza"? Kto w dziale prawnym zatwierdził takie sformułowanie? Microsoft jest największym dystrybutorem luk dnia zerowego - przez GitHuba. Niezastosowanie się do zmyślonych procesów "odpowiedzialnego ujawniania" nie jest nielegalne. Nightmare Eclipse również został wyrzucony z GitHuba (należącego do Microsoftu), z GitLaba (partnera Microsoftu), doxxowano ich na Twitterze i dezaktywowano im konto w MSRC — portalu Microsoftu do zgłaszania podatności. Dość trudno "odpowiedzialnie" zgłaszać przyszłe luki, kiedy zostało się zbanowanym.