Microsoft përballet me kritika pasi kërcënoi një studiues të sigurisë kibernetike me hetim penal
Pasi një studiues sigurie publikoi një sërë gabimesh të paarnuara në produktet e Microsoft-it, së bashku me kodin për t’i shfrytëzuar ato, kompania tani po kërcënon të ndërmarrë veprime ligjore dhe të thërrasë policinë për t’i vënë në pikëpyetje. Kërcënimi i fshehur i Microsoft-it rindez një debat të gjatë mbi përgjegjësinë, nëse ka, që kanë studiuesit e sigurisë për të zbuluar dobësitë që prekin gjigantët e mëdhenj dhe të pasur të teknologjisë.
Të mërkurën, Microsoft publikoi një postim në blog ku kritikonte studiuesin, i cili njihet me pseudonimin “Nightmare Eclipse”, për zbulimin publik të një sërë gabimesh, duke përfshirë BlueHammer, RedSun, UnDefend dhe YellowKey. Gabimet prekën produkte të tilla si motori antivirus i integruar i Windows Defender dhe mjeti i enkriptimit të diskut BitLocker.
Thelbi i ankesave të Microsoft është se studiuesi nuk u përpoq të raportonte gabimet në mënyrë që kompania të mund t’i rregullonte ato. Kjo do të kishte qenë “e përgjegjshme”, siç e quan blogu i Microsoft. Ana tjetër e argumentit të kompanisë është se duke publikuar detajet e gabimeve dhe mënyrën e shfrytëzimit të tyre para se të rregulloheshin, Nightmare Eclipse mund të ketë ndihmuar hakerat keqdashës. Disa nga dobësitë e zbuluara nga Nightmare Eclipse janë përdorur që atëherë nga hakerat në sulme në botën reale, sipas Microsoft, si dhe agjencisë amerikane të sigurisë kibernetike CISA.
“Njësia jonë e Krimeve Dixhitale do të vazhdojë të ngrejë padi kundër këtyre aktorëve dhe atyre që mundësojnë aktivitetin e tyre kriminal — duke u koordinuar sipas nevojës me forcat e ligjit në të gjithë botën”, shkroi Microsoft. (Njësia e Krimeve Dixhitale e Microsoft ka për mision mbrojtjen e kompanisë përmes strategjive të ndryshme, duke përfshirë “veprime ligjore civile, kundërmasa teknike, referime penale dhe partneritete publik-privat”, sipas faqes së saj të internetit ).
Në një seri blogjesh të publikuara në dy javët e fundit — pa dhënë shumë detaje specifike — Nightmare Eclipse pretendoi se kishte qenë në kontakt me Microsoft, por kompania dyshohet se i keqtrajtoi ata, duke përfshirë revokimin e aksesit në llogarinë e tyre të Microsoft Security Response Center, portali ku studiuesit mund të raportojnë dobësitë te gjiganti i teknologjisë. Nënkuptimi i Nightmare Eclipse ishte se ata nuk kishin zgjidhje tjetër veçse t’i publikonin dobësitë publikisht, që në thelb do të thoshte se në atë pikë ato ishin zero-days , një term specifik për të metat e sigurisë që janë të panjohura për prodhuesin e softuerëve të prekur në kohën kur ato zbulohen ose shfrytëzohen.
Studiuesit i publikuan defektet në depot me burim të hapur GitHub (në pronësi të Microsoft) dhe GitLab. Llogaritë e studiuesve në këto platforma janë ndaluar.
Nightmare Eclipse dhe Microsoft nuk iu përgjigjën një kërkese për koment.
Kjo debat publik sjell në mendje një debat të gjatë dhe ende disi të diskutueshëm: A kanë detyrë studiuesit e pavarur të sigurisë të sigurohen që dobësitë që gjejnë të rregullohen? Dhe sa larg duhet të shkojnë ata për t’u siguruar që kompanitë, produktet e të cilave janë të cenueshme, i rregullojnë ato?
Një pjesë e këtij debati, e cila është zgjidhur plotësisht dhe është pranuar gjerësisht, është se studiuesit meritojnë të paguhen për punën e tyre. Ndërsa mund të duket e qartë këto ditë, u deshën vite të tëra përpjekjesh, të kapura pjesërisht gjatë një fushate të nisur në vitin 2009 të quajtur ” Mjaft me Gabime Falas “. Pothuajse 20 vjet më vonë, shumica e kompanive të vogla dhe të mëdha paguajnë shpërblime financiare “shpërblim për gabime”, të cilat sot mund të arrijnë deri në gjashtë shifra ose më shumë për studiuesit që zbulojnë privatisht gabime dhe koordinojnë publikimin e detajeve të tyre pasi gabimet të jenë rregulluar.
Në përgjigje të kësaj polemike të fundit me Nightmare Eclipse, studiues të panumërt kanë ndarë përvojat e tyre të këqija duke raportuar defekte te Microsoft. Mund të thuhet me të drejtë se shumica e komunitetit të sigurisë kibernetike është hapur e pakënaqur me mënyrën se si Microsoft po e trajton këtë çështje. Kjo përfshin veteranët e sigurisë kibernetike, siç është themeluesja e Luta Security, Katie Moussouris, e cila, ndërsa punonte te Microsoft në mesin dhe fundin e viteve 2000, ishte pioniere e shpërblimeve për defekte dhe e bindi gjigantin e teknologjisë të largohej nga koncepti i “zbulimit të përgjegjshëm” duke e përkufizuar procesin si ” zbulim i koordinuar “.
“Përdorimi i termit zbulim ‘i përgjegjshëm’ ishte goditja e parë në librin tim”, tha Moussouris për TechCrunch, duke iu referuar postimit në blog të Microsoft. “Shtimi i një kërcënimi për ndjekje penale duke përmendur [Njësinë e Krimeve Dixhitale] ishte i tepruar dhe do të rezultojë vetëm në mosbesimin e studiuesve të sigurisë ndaj Microsoft.”
Moussouris paralajmëroi se pasojat e humbjes së besimit të studiuesve të sigurisë te Microsoft mund të rezultojnë në një efekt shqetësues, pasi më pak njerëz do të raportojnë gabime, “duke e bërë më pak të sigurt për të gjithë ne”.
Studiuesi i sigurisë dhe ish-punonjësi i Microsoft-it, Kevin Beaumont, gjithashtu e kritikoi Microsoft-in në një postim në blog, duke e përshkruar qëndrimin e kompanisë si një “zjarr në kontejnerë mbeturinash të shkaktuar nga vetë ajo”.
“Krijimi dhe shpërndarja e shfrytëzimit të provës së konceptit për zero ditë është ‘aktivitet kriminal’ tani?” shkroi Beaumont. “Zbulimi i përgjegjshëm shpesh formulohet për të mbrojtur pronarin e produktit, jo klientin – përdorimi i tij për të provuar të ndjekë penalisht njerëzit është një nivel i ri i ulët.”