Купон на скидку: 2026
В среду Microsoft опубликовала пост в блоге, в котором раскритиковала исследователя с псевдонимом "Nightmare Eclipse" за публичное раскрытие ряда уязвимостей, включая BlueHammer, RedSun, UnDefend и YellowKey. Эти дефекты затрагивали такие продукты, как встроенный антивирус Windows Defender и инструмент шифрования дисков BitLocker. Основная претензия Microsoft заключается в том, что исследователь не попытался сообщить об уязвимостях, чтобы компания могла их исправить.
По мнению Microsoft, это было бы "ответственно". Другой аспект аргумента компании состоит в том, что, публикуя детали уязвимостей и способы их эксплуатации до их исправления, Nightmare Eclipse мог помочь злоумышленникам. Некоторые из уязвимостей, раскрытых Nightmare Eclipse, с тех пор использовались хакерами в реальных атаках, как сообщает Microsoft и Агентство кибербезопасности и инфраструктурной безопасности США (CISA).
"Наше подразделение по борьбе с киберпреступлениями продолжит привлекать к ответственности этих акторов и тех, кто способствует их преступной деятельности, координируясь при необходимости с правоохранительными органами по всему миру," — написала Microsoft. (Подразделение по борьбе с киберпреступлениями Microsoft занимается защитой компании с помощью различных стратегий, включая гражданские судебные действия, технические контрмеры, уголовные направления и государственно-частные партнерства, согласно информации на его сайте).
В серии блогов, опубликованных за последние несколько недель, Nightmare Eclipse утверждал, что был в контакте с Microsoft, но компания якобы плохо с ним обращалась, включая отзыв доступа к его аккаунту в Центре реагирования на угрозы безопасности Microsoft, порталу, где исследователи могут сообщать о уязвимостях технологическому гиганту. Nightmare Eclipse намекнул, что у него не было другого выбора, кроме как публично раскрыть уязвимости, что фактически означало, что на тот момент они были "нулевыми днями", термином, обозначающим уязвимости, неизвестные производителю программного обеспечения на момент их раскрытия или эксплуатации.
Исследователь опубликовал уязвимости в открытых репозиториях GitHub (принадлежащем Microsoft) и GitLab. Аккаунты исследователя на этих платформах были заблокированы. Nightmare Eclipse и Microsoft не ответили на запрос о комментариях. Этот публичный конфликт возвращает к давнему и все еще несколько спорному вопросу: должны ли независимые исследователи безопасности гарантировать, что найденные ими уязвимости будут исправлены?
И насколько далеко они должны идти, чтобы убедиться, что компании, чьи продукты уязвимы, действительно их исправляют? Одна часть этого спора, которая была полностью решена и широко признана, заключается в том, что исследователи заслуживают оплаты за свою работу. Хотя это может показаться очевидным в наши дни, на это ушли годы борьбы, частично запечатленной в кампании, запущенной в 2009 году под названием "Больше никаких бесплатных багов".
Почти 20 лет спустя большинство компаний, больших и малых, выплачивают финансовые вознаграждения за "охоту на баги", которые сегодня могут достигать шести цифр и более, исследователям, которые конфиденциально раскрывают баги и координируют публикацию их деталей после исправления. В ответ на последний конфликт с Nightmare Eclipse многие исследователи поделились своим негативным опытом сообщения об уязвимостях в Microsoft.
Можно сказать, что большая часть сообщества кибербезопасности открыто недовольна тем, как Microsoft решает эту проблему. Это включает ветеранов кибербезопасности, таких как основательница Luta Security Кэти Муссурис, которая, работая в Microsoft в середине-конце 2000-х, была пионером в области вознаграждений за обнаружение багов и убедила технологического гиганта отказаться от концепции "ответственного раскрытия", формулируя процесс как "координированное раскрытие".
"Использование термина 'ответственное' раскрытие было первым ударом в моей книге," — сказала Муссурис TechCrunch, ссылаясь на пост в блоге Microsoft. "Добавление угрозы преследования, упомянув [подразделение по борьбе с киберпреступлениями], было чрезмерным и только приведет к тому, что исследователи безопасности перестанут доверять Microsoft." Муссурис предупредила, что последствия утраты доверия исследователей безопасности к Microsoft могут привести к охлаждающему эффекту, когда меньше людей будут сообщать об уязвимостях, "делая всех нас менее безопасными."
"Ответственное раскрытие часто формулируется для защиты владельца продукта, а не клиента — использование его для попытки уголовного преследования людей является новым дном.