Totul a început când un cercetător cunoscut sub pseudonimul „Nightmare Eclipse” a publicat pe platforme open-source precum GitHub (deținut de Microsoft) și GitLab o serie de vulnerabilități, inclusiv BlueHammer, RedSun UnDefend și YellowKey. Acestea afectau produse precum motorul antivirus integrat Windows Defender și instrumentul de criptare a discurilor BitLocker. Microsoft a reacționat prompt, publicând un articol pe blog în care critica dur acțiunile cercetătorului, acuzându-l că nu a raportat bug-urile în mod responsabil, ci le-a făcut publice fără a oferi companiei timp să le repare.
„Echipa noastră de Crime Cibernetice va continua să acționeze împotriva acestor actori și a celor care facilitează activitățile lor infracționale – coordonându-se, după caz, cu autoritățile de aplicare a legii din întreaga lume”, a scris Microsoft în postarea sa. Această declarație a fost interpretată de comunitatea de securitate ca o amenințare directă la adresa cercetătorului, mai ales că Digital Crimes Unit (DCU) al Microsoft are misiunea de a proteja compania prin acțiuni legale civile, măsuri tehnice, sesizări penale și parteneriate public-private.
Nightmare Eclipse a susținut, într-o serie de postări pe blog din ultimele săptămâni, că a încercat să contacteze Microsoft, dar că a fost tratat prost de companie, inclusiv prin revocarea accesului la portalul Microsoft Security Response Center (MSRC), unde cercetătorii pot raporta vulnerabilități. Potrivit acestuia, nu a avut de ales decât să facă publice vulnerabilitățile, care în acel moment deveniseră de fapt zero-day-uri – termen tehnic pentru breșe de securitate necunoscute producătorului la momentul dezvăluirii sau exploatării.
Microsoft susține că unele dintre vulnerabilitățile dezvăluite de Nightmare Eclipse au fost deja folosite de hackeri în atacuri reale, citând atât propriile investigații, cât și pe cele ale Agenției pentru Securitate Cibernetică și Infrastructură (CISA) din SUA. Conturile cercetătorului pe GitHub și GitLab au fost blocate, iar Microsoft pare hotărâtă să meargă până la capăt.
Această dispută readuce în prim-plan o dezbatere care, deși veche, rămâne controversată: cercetătorii independenți în securitate au obligația de a se asigura că vulnerabilitățile descoperite sunt reparate? Și cât de departe trebuie să meargă pentru a convinge companiile să acționeze? Un aspect deja stabilit și larg recunoscut este că cercetătorii merită să fie plătiți pentru munca lor. Deși astăzi pare evident, a fost nevoie de ani de luptă, inclusiv prin campania „No More Free Bugs” lansată în 2009. Aproape 20 de ani mai târziu, majoritatea companiilor, mici sau mari, oferă recompense financiare („bug bounty”) care pot ajunge la șase cifre sau mai mult pentru cercetătorii care raportează vulnerabilități în mod privat și coordonează publicarea detaliilor după ce acestea sunt reparate.
În reacție la acest caz, numeroși cercetători și-au împărtășit experiențele negative cu Microsoft. Comunitatea de securitate cibernetică este, în mare parte, nemulțumită de modul în care compania gestionează situația. Printre vocile critice se numără și veterani precum Katie Moussouris, fondatoarea Luta Security, care a lucrat la Microsoft la sfârșitul anilor 2000 și a fost pionieră a programelor de bug bounty, convingând gigantul tech să treacă de la conceptul de „dezvăluire responsabilă” la cel de „dezvăluire coordonată”.
„Invocarea termenului de dezvăluire «responsabilă» a fost prima greșeală în cartea mea”, a declarat Moussouris pentru TechCrunch. „Adăugarea amenințării cu urmărirea penală prin menționarea [Digital Crimes Unit] a fost exagerată și nu va face decât să sporească neîncrederea cercetătorilor în Microsoft.” Moussouris a avertizat că pierderea încrederii cercetătorilor ar putea avea un efect de descurajare, determinând mai puțini oameni să raporteze bug-uri, „ceea ce ne face pe toți mai puțin în siguranță”.
Kevin Beaumont, cercetător în securitate și fost angajat Microsoft, a criticat și el compania într-un articol pe blog, descriind poziția acesteia drept „un foc de gunoi creat de ea însăși”. „Crearea și distribuirea de coduri de exploatare pentru zero-day-uri este acum «activitate infracțională»?”, a scris Beaumont. „Dezvăluirea responsabilă este adesea construită pentru a proteja proprietarul produsului, nu clientul – folosirea ei pentru a încerca să urmărești penal oameni este un nou minim.”
De ce este important:
Acest caz evidențiază tensiunile dintre marile companii tech și comunitatea de securitate cibernetică, care joacă un rol esențial în descoperirea și raportarea vulnerabilităților. Dacă Microsoft va continua să amenințe cu acțiuni legale cercetătorii care dezvăluie bug-uri în mod public, riscă să descurajeze raportările voluntare, lăsând utilizatorii expuși la atacuri. Pe de altă parte, dezvăluirea necoordonată a vulnerabilităților poate ajuta hackerii rău intenționați. Găsirea unui echilibru între protejarea intereselor companiilor și încurajarea cercetării în securitate este crucială pentru siguranța cibernetică globală.
