După ce un cercetător de securitate a publicat buguri nepatchate în produse Microsoft - cu tot cu cod de exploatare - compania a răspuns nu prin remedierea lor, ci prin amenințarea că va chema poliția. Amenințarea legală voalată a Microsoft a reaprins dezbaterea de lungă durată despre dacă cercetătorii de securitate datorează ceva giganților tech de un trilion de dolari care nu se obosesc să-și patchuiască propriul software.

Miercuri, Microsoft a publicat o postare pe blog criticând cercetătorul cunoscut sub numele de „Nightmare Eclipse” pentru că a dezvăluit public o serie de buguri cu nume precum BlueHammer, RedSun UnDefend și YellowKey - sună mai puțin a vulnerabilități de securitate și mai mult a răufăcători respinși din Power Rangers. Vulnerabilitățile afectau produse precum motorul antivirus încorporat Windows Defender și instrumentul de criptare a discurilor BitLocker.

Plângerea principală a Microsoft este că cercetătorul nu a raportat bugurile în privat, astfel încât compania să le poată remedia mai întâi. Ar fi fost lucrul „responsabil” de făcut, potrivit Microsoft. Compania mai susține că publicarea detaliilor de exploatare înainte de a fi disponibil un patch ar fi putut ajuta hackerii rău intenționați - și, într-adevăr, unele dintre vulnerabilități au fost ulterior folosite în atacuri din lumea reală, potrivit atât Microsoft, cât și agenției americane de securitate cibernetică CISA.

„Unitatea noastră pentru Crime Digitale va continua să introducă cazuri împotriva acestor actori și a celor care le facilitează activitatea criminală - coordonându-se după cum este necesar cu forțele de ordine din întreaga lume”, a scris Microsoft. Misiunea Unității pentru Crime Digitale, conform site-ului său, include „acțiuni legale civile, contramăsuri tehnice, sesizări penale și parteneriate public-privat”. Deci, practic, sunt versiunea corporatistă a a-l chema pe tata pentru că cineva a fost rău cu tine.

Într-o serie de bloguri publicate în ultimele săptămâni, Nightmare Eclipse a susținut că a fost în contact cu Microsoft, dar a fost presupus maltratat - inclusiv prin revocarea contului lor de la Microsoft Security Response Center. Implicația a fost că nu au avut de ales decât să publice vulnerabilitățile public, transformându-le efectiv în zero-day-uri: vulnerabilități de securitate necunoscute producătorului de software afectat la momentul dezvăluirii.

Cercetătorul a publicat bugurile pe GitHub și GitLab - ambele platforme unde conturile lor au fost ulterior interzise. Nici Nightmare Eclipse, nici Microsoft nu au răspuns solicitărilor de comentarii.

Acest conflict public reînvie o dezbatere încă controversată: Cercetătorii independenți de securitate au datoria de a se asigura că vulnerabilitățile pe care le găsesc sunt remediate? Și cât de departe trebuie să meargă pentru a se asigura că companiile ale căror produse sunt vulnerabile le remediază efectiv?

O parte a acestei dezbateri a fost soluționată: cercetătorii merită să fie plătiți. A durat ani de luptă - surprinsă parțial de campania din 2009 „No More Free Bugs” - dar aproape 20 de ani mai târziu, majoritatea companiilor plătesc recompense pentru buguri care pot ajunge la șase cifre sau mai mult pentru dezvăluiri private.

Ca răspuns la această ultimă controversă, nenumărați cercetători au împărtășit experiențele lor proaste de raportare a bugurilor către Microsoft. Comunitatea de securitate cibernetică este vocal nemulțumită. Printre aceștia se numără Katie Moussouris, fondatoarea Luta Security, care, în timp ce lucra la Microsoft la mijlocul și sfârșitul anilor 2000, a pionierat recompensele pentru buguri și a convins compania să adopte „dezvăluirea coordonată” în loc de „dezvăluirea responsabilă”.

„Invocarea termenului de dezvăluire „responsabilă” a fost prima lovitură în cartea mea”, a declarat Moussouris pentru TechCrunch. „Adăugarea unei amenințări cu urmărirea penală prin menționarea [Unității pentru Crime Digitale] a fost exagerată și nu va face decât să determine cercetătorii de securitate să nu aibă încredere în Microsoft.” Ea a avertizat că pierderea încrederii cercetătorilor ar putea crea un efect de descurajare, făcând „mai puțin sigur pentru noi toți”.

Cercetătorul de securitate și fostul angajat Microsoft Kevin Beaumont a criticat și el compania, descriind poziția acesteia ca un „coș de gunoi în flăcări creat de ea însăși”. „Crearea și distribuirea de coduri de exploatare demonstrative pentru zero-day-uri este acum „activitate criminală”?” a scris Beaumont. „Dezvăluirea responsabilă destul de