Microsoft a clarificat că nu va intenta acțiuni legale împotriva cercetătorilor de securitate care publică descoperiri despre vulnerabilități, retrăgându-se astfel din ceea ce comunitatea de securitate cibernetică a interpretat pe scară largă drept o amenințare cu acuzații penale împotriva unui cercetător independent care a divulgat mai multe exploit-uri zero-day în produsele Windows.
Revenirea asupra deciziei
Într-un comunicat emis în cursul weekendului, Microsoft Security Response Center a declarat că nu intenționează „să ia măsuri împotriva persoanelor care desfășoară sau publică cercetări de securitate”, potrivit rapoartelor din publicațiile de securitate cibernetică. Compania a trasat o linie clară între cercetarea de bună-credință și activitatea malițioasă, precizând că escaladarea juridică va interveni doar „atunci când o persoană încalcă legea și se angajează în activități malițioase care cauzează prejudicii reale clienților noștri”.
Microsoft a reafirmat, de asemenea, că divulgarea coordonată a vulnerabilităților „rămâne fundamentul pentru protejarea clienților și îmbunătățirea produselor noastre” și s-a angajat să primească raportări de vulnerabilități din partea tuturor cercetătorilor prin portalul său public, indiferent de interacțiunile anterioare.
Ce a declanșat reacția negativă
Controversa a izbucnit la sfârșitul lunii mai, după ce Microsoft a publicat o postare pe blog criticând un cercetător cunoscut sub numele „Nightmare Eclipse” pentru că a dezvăluit public șase vulnerabilități zero-day nepatchate din Windows — denumite RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma și MiniPlasma — fără a le raporta în prealabil prin canalele oficiale. Microsoft a invocat ulterior Unitatea sa pentru Combaterea Criminalității Digitale, care se ocupă de sesizările penale și coordonarea cu autoritățile, folosind un limbaj interpretat pe scară largă drept o amenințare juridică.
Cercetătorul, al cărui cont de GitHub fusese anterior suspendat de Microsoft pentru publicarea de cod de tip exploit, a susținut că Microsoft i-a ignorat sau respins rapoartele anterioare privind vulnerabilitățile și i-a reținut plățile din programul de recompense. Trei dintre vulnerabilitățile dezvăluite erau, conform rapoartelor, exploatate activ la momentul respectiv.
Reacția industriei
Comunitatea de securitate a răspuns cu critici pe scară largă. TechCrunch a relatat că disputa „reaprinde o dezbatere de lungă durată privind responsabilitatea cercetătorilor în domeniul securității — dacă există vreuna — de a dezvălui vulnerabilitățile care afectează giganții tehnologici mari și înstăriți”. Cercetători veterani au avertizat cu privire la un „efect de descurajare” asupra muncii independente în domeniul securității. The Verge, Dark Reading și PCMag au acoperit pe larg reacțiile negative.
Clarificarea Microsoft pare menită să prevină deteriorarea pe termen lung a relației sale cu comunitatea mai largă a cercetătorilor în securitate, deși tensiunea de fond legată de Nightmare Eclipse — care a amenințat că va lansa exploit-uri suplimentare în iulie — rămâne nerezolvată.
Surse:
https://thenextweb.com/news/microsoft-threatens-security-researcher-nightmare-eclipse
Microsoft under fire for threatening security researcher with criminal investigation