Microsoft угрожала исследователю безопасности уголовным преследованием. Сообщество кибербезопасности в ярости.

      TL;DRMicrosoft угрожает юридическими действиями исследователю, который опубликовал неустраненные уязвимости Defender и BitLocker. Ветераны предупреждают о сдерживающем эффекте.

      Microsoft опубликовала пост в блоге в среду, критикуя исследователя безопасности, известного как «Ночной Кошмар», за публичное раскрытие ряда неустраненных уязвимостей в Windows Defender и BitLocker. Компания затем привлекла свое Подразделение цифровых преступлений, которое занимается уголовными делами и координацией с правоохранительными органами. Сообщество кибербезопасности ответило возмущением.

      Уязвимости, названные BlueHammer, RedSun, UnDefend и YellowKey, затрагивают встроенный антивирусный движок Microsoft и инструмент шифрования дисков. Исследователь опубликовал код эксплуатации на GitHub (принадлежит Microsoft) и GitLab, не дав Microsoft времени на исправление. Некоторые из уязвимостей с тех пор были использованы злоумышленниками в реальных атаках, согласно данным Microsoft и CISA.

      Позиция Microsoft заключается в том, что исследователь должен был сообщить об уязвимостях в частном порядке, чтобы компания могла исправить их до публичного раскрытия. Компания назвала это «ответственным» раскрытием. В своем посте в блоге она предупредила, что ее Подразделение цифровых преступлений «будет продолжать возбуждать дела против этих лиц и тех, кто способствует их преступной деятельности».

      Ночной Кошмар рассказывает другую историю. В серии постов в блоге, опубликованных за последние две недели, исследователь утверждал, что находился в контакте с Microsoft. Якобы компания отозвала доступ к их учетной записи в Центре реагирования на безопасность Microsoft, портале, где исследователи подают отчеты об уязвимостях.

      Исследователь подразумевал, что у него не было выбора, кроме как опубликовать уязвимости публично. На момент публикации уязвимости были нулевыми днями: недостатки, неизвестные производителю программного обеспечения в момент их раскрытия или эксплуатации. Учетные записи исследователя на GitHub и GitLab с тех пор были заблокированы.

      Ни Ночной Кошмар, ни Microsoft не ответили на запрос TechCrunch о комментарии.

      Ветераны кибербезопасности ответили резкой критикой. Кэти Муссурис, основатель Luta Security и человек, который стал пионером программы вознаграждений за уязвимости Microsoft в середине 2000-х, сказала, что язык компании был провокационным. «Упоминание термина ‘ответственное’ раскрытие было первым ударом», — сказала она TechCrunch. «Добавление угрозы уголовного преследования, упоминая DCU, было чрезмерным».

      Муссурис предупредила, что последствия могут выйти за рамки этого случая. «Это только приведет к тому, что исследователи безопасности перестанут доверять Microsoft», — сказала она. Меньше исследователей, которые выходят с сообщениями об уязвимостях, «делает это менее безопасным для всех нас».

      Кевин Бомонт, исследователь безопасности и бывший сотрудник Microsoft, назвал позицию компании «пожаром, который она сама разожгла». Он написал: «Создание и распространение доказательства концепции для нулевых дней теперь является ‘преступной деятельностью’? Ответственное раскрытие часто формулируется так, чтобы защитить владельца продукта, а не клиента».

      Дебаты о раскрытии ведутся десятилетиями, но не разрешены полностью. Отраслевое согласие — это «координированное раскрытие»: исследователи сообщают об уязвимостях в частном порядке, компании их исправляют, и детали публикуются, как только патч становится доступным. Сама Муссурис убедила Microsoft принять этот язык, когда работала там, заменив термин «ответственное раскрытие», который исследователи воспринимали как формулировку интересов компании как морального стандарта.

      Решение Microsoft вернуться к «ответственному» языку и угрожать уголовными делами — это значительный шаг назад. Программы вознаграждений за уязвимости существуют, потому что отрасль поняла, через годы противостояния, что платить исследователям за частное раскрытие дешевле и безопаснее, чем игнорировать их, пока они не станут публичными. Большинство компаний теперь платят вознаграждения в шести значных суммах за критические уязвимости.

      Проект Glasswing компании Anthropic обнаружил 10,000 критических уязвимостей за один месяц в программном обеспечении с открытым исходным кодом, и только 97 из них были устранены. Разрыв между обнаружением и устранением расширяется по всей отрасли. Угрозы людям, которые находят уязвимости, не закрывают этот разрыв. Они его расширяют.

      Ландшафт безопасности ИИ создает новые категории уязвимостей быстрее, чем компании могут их устранить. Эксплуатация Claw Chain от OpenClaw, хак TETRA на железной дороге Тайваня и теперь собственные продукты Microsoft все иллюстрируют одну и ту же динамику: поверхность атаки растет, исследователи, которые ее картографируют, необходимы, и их алиенация имеет последствия.

      Практический вопрос заключается в том, что происходит, когда исследователь находит критическую уязвимость, сообщает о ней через надлежащий канал, а компания отзывает их учетную запись. Если рассказ Ночного Кошмара о отзыве MSRC точен, Microsoft создала условия для публичного раскрытия, которое теперь осуждает. Если это не так, Microsoft этого не сказала.

      Сдерживающий эффект, который описала Муссурис, уже виден. Бесчисленные исследователи поделились своими негативными опытами при сообщении об уязвимостях Microsoft в ответ на пост в блоге. Компания, которая зависит от внешних исследователей для нахождения недостатков в продуктах, используемых более чем миллиардами людей, говорит этим исследователям, что нахождение недостатков может привести к уголовному преследованию. Сообщение ясно. Является ли это мудрым — совершенно другой вопрос.