Təhlükəsizlik tədqiqatçısı Microsoft məhsullarında bir sıra düzəldilməmiş boşluqları və onları istismar etmək üçün kodu ictimaiyyətə təqdim etdikdən sonra, şirkət hüquqi addımlar atmaq və polisə müraciət etmək niyyətindədir. Microsoft-un dolayı hədəsi texnologiya nəhənglərinə aid boşluqların aşkarlanması ilə bağlı tədqiqatçıların məsuliyyəti barədə mübahisəni yenidən gündəmə gətirib.

Çərşənbə günü Microsoft bloq yazısı yayımlayıb və "Nightmare Eclipse" təxəllüsü ilə tanınan tədqiqatçını aşağıdakı boşluqları ictimaiyyətə açıqladığına görə tənqid edib: BlueHammer, RedSun, UnDefend və YellowKey. Boşluqlar Windows-un daxili antivirus mühərriki Defender və disk şifrələmə aləti BitLocker kimi məhsulları təsir edib.

Microsoft-un əsas iddiası tədqiqatçının boşluqları şirkətə bildirərək onların düzəldilməsini təmin etməməsidir. Microsoft-un bloqunda qeyd olunur ki, bu məsuliyyətli addım olardı. Şirkət bildirir ki, boşluqlar və onların istismar yolları düzəldilmədən əvvəl yayımlandığından "Nightmare Eclipse" zərərli hakerlərə kömək etmiş ola bilər. Microsoft və ABŞ Kiber Təhlükəsizlik Agentliyinin (CISA) məlumatına görə, tədqiqatçı tərəfindən açıqlanan bəzi boşluqlardan sonra hakerlər real hücumlardan istifadə edib.

Microsoft yazıb: “Rəqəmsal Cinayətlər Bölməmiz bu aktorlarla və onların cinayət fəaliyyətlərini dəstəkləyənlərlə qarşı dünyanın hüquq-mühafizə orqanları ilə əməkdaşlıq edərək işləri davam etdirəcək.” Şirkətin bu bölməsi məxməri hüquqi tədbirlər, texniki qarşı tədbirlər, cinayət tövsiyələri və dövlət-özəl tərəfdaşlıqları çərçivəsində fəaliyyət göstərir.

Son həftələrdə blog seriyasında "Nightmare Eclipse" Microsoft-la əlaqə olduğunu iddia edib. Lakin şirkətin onları pis rəftar etdiyi və tədqiqatçıların boşluqları bildirmək üçün girişləri olan Microsoft Təhlükəsizlik Reaksiya Mərkəzi hesablarının ləğv edildiyi bildirilib. Tədqiqatçılar boşluqları ictimaiyyətə açıqlamaqdan başqa yol qalmadığını göstərib, bu da onların həmin anda zero-day — proqram təminatı istehsalçısı tərəfindən açıqlanmayan və ya istismar edilən məlum olmayan boşluqlar — olduğunu göstərir.

Tədqiqatçılar boşluqları açıq mənbə platformalarında, Microsoft-a məxsus olan GitHub və GitLab da yayımlayıb. Bu platformalardakı tədqiqatçı hesabları bloklanıb.

"Nightmare Eclipse" və Microsoft şərh üçün müraciətə cavab verməyib.

Kiber təhlükəsizlik veteranları soyuq duş effekti barədə xəbərdarlıq edir

Bu mübahisə müstəqil təhlükəsizlik tədqiqatçılarının aşkar etdikləri boşluqların düzəlməsini təmin etmək öhdəliyi olub-olmaması, həmçinin şirkətlərin bu boşluqları həqiqətən bağlaması üçün məsuliyyəti barədə uzun müddətdir davam edən müzakirəni yenidən qaldırır.

Müzakirə çərçivəsində qəbul edilən həqiqətlərdən biri tədqiqatçıların işləri üçün ödəniş almağa layiq olmasıdır. Hal-hazırda bu aydın görünsə də, 2009-cu ildə başlanan “ No More Free Bugs ” kampaniyası ilə illərlə davam edən mübarizədən sonra qəbul olunub. Təxminən 20 ildən sonra kiçik və iri şirkətlər tədqiqatçıların aşkarladıqları boşluqları şəxsi qaydada açıqlayıb düzəltmədən sonra izahlarını paylaşmaları üçün bəzən altı rəqəmli məbləğədək "bug bounty" mükafatları ödəyir.

"Nightmare Eclipse" məsələsi ilə bağlı çoxsaylı tədqiqatçılar Microsoft-un bug-ları bildirmə prosesində yaşadıqları mənfi təcrübələri paylaşıb. Kibertəhlükəsizlik icması Microsoft-un mövqeyindən narazıdır. Bu narazılıq arasında Microsoft-da işlədiyi illərdə bug bounty proqramlarını irəli aparmış Luta Security şirkətinin qurucusu Keti Moussuris də var. O, "məsuliyyətli açıqlama" anlayışını koordinə edilmiş açıqlama kimi təqdim etməyi tövsiyə edib.

Moussuris TechCrunch-a deyib: “'Məsuliyyətli açıqlama' termini mənim kitabımda səhv addımdır. [Rəqəmsal Cinayətlər Bölməsinin] hüquqi təqib hədəsi artıq həddindən artıqdır və tədqiqatçıların Microsoft-a inamsızlığını artıracaq.”

O, xəbərdarlıq edib ki, təhlükəsizlik tədqiqatçılarının Microsoft-a etimadını itirməsi bug-ların az sayda şəxs tərəfindən bildirilməsi ilə nəticələnə bilər, bu isə hər kəs üçün təhlükəsizliyi azaldacaq.

Təhlükəsizlik tədqiqatçısı və keçmiş Microsoft əməkdaşı Kevin Bomo bloqunda Microsoft-u tənqid edib. Onun fikrincə, şirkətin mövqeyi öz yaratdığı fəlakətdir.

"...Zero-day boşluqlar üçün sübut konsepti yaratmaq və yaymaq indi 'cinayət fəaliyyəti' sayılır?” Bomo yazıb. “Məsuliyyətli açıqlama çox vaxt məhsul sahibini qorumaq üçün istifadə olunur, müştərini yox — insanları cinayət məsuliyyətinə cəlb etmək üçün istifadə edilməsi isə yeni səviyyənin aşağı göstəricisidir.”