Підхід Microsoft до роботи з дослідниками безпеки тривалий час був предметом суперечок, але деякі з її нещодавніх формулювань викликали занепокоєння у коментаторів.
За часів роботи з багатьма дослідниками кібербезпеки я знаю, що Microsoft є доволі суперечливою фігурою.
Будучи найбільшою операційною системою у світі, Windows часто стає мішенню для зломів та експлойтів, поряд із хмарними сервісами Microsoft Azure. Наприклад, минулого року російськомовні хакери зламали рівень Microsoft 365, скомпрометувавши облікові записи офіційних осіб уряду США.
Для боротьби з цим Microsoft відома тим, що співпрацює з активними та менш активними дослідниками безпеки, яких іноді називають “білими капелюхами” (whitehat hackers), які тестують рівні безпеки Microsoft, а потім повідомляють про виявлені проблеми. Microsoft має програму винагород за виявлення вразливостей (bug bounty program), де етичні хакери можуть повідомляти про експлойти за значну винагороду. Принаймні, так це працює в теорії.
З власного досвіду роботи з джерелами Xbox і Windows я знаю, що фактичне отримання оплати часто буває складнішим, ніж це випливає з документації Microsoft. Я знаю кількох дослідників, яким у минулому не заплатили належної компенсації, і, як випливає з останніх подій, ця драма обертається навколо одного такого потенційно “обпаленого” користувача.
Дослідник безпеки Nightmare Eclipse нещодавно публічно розкрив шість серйозних вразливостей безпеки у Windows та інших системах Microsoft. Зазвичай такі баги повідомляються безпосередньо Microsoft, щоб компанія могла їх виправити, але попередні дописи Eclipse свідчать, що він міг розкрити їх публічно з помстою.
“Зазвичай я б благав їх виправити помилку,” написав Eclipse (через PCMag), “але, підсумовуючи, мені особисто сказали, що вони зруйнують моє життя, і вони це зробили. Я не впевнений, чи це був мій жахливий досвід, чи в кількох людей, але, думаю, більшість просто з’їли б це і списали збитки. Але вони забрали в мене все. Вони витерли об мене ноги й вдалися до всіх дитячих ігор, до яких тільки могли. У якийсь момент це було так погано, що я думав, чи маю справу з величезною корпорацією, чи з кимось, хто просто розважається, бачачи мої страждання, але, здається, це було колективне рішення.”
Наразі твердження Nightmare Eclipse є непідтвердженими, але, з усього, що відомо, це не єдина подібна історія, яку я чув.
Microsoft має контракти з військовими США і дуже серйозно ставиться до безпеки, хоча, можливо, недостатньо. Генеральний директор Сатья Наделла був збентежений протягом останніх кількох років деякими гучними зламами Azure, і підтримка добрих стосунків з доброзичливими етичними хакерами має бути фундаментальною опорою захисту клієнтів Microsoft.
Щотижня з’являється нова історія про те, як хакерські атаки за допомогою ШІ можуть перевернути глобальну кібербезпеку з ніг на голову. Здається, Microsoft займає більш агресивну позицію щодо переслідування хакерів, а також тих, хто публікує інформацію про вразливості. У відповідь на розкриття інформації від Nightmare Eclipse Microsoft опублікувала заяву:
“Вразливості, відомі як RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma та MiniPlasma, не були розкриті належним чином. У відповідь на непотрібний ризик, створений цими розкриттями, наші команди безпеки працювали цілодобово, щоб зрозуміти вплив, захистити наших клієнтів та розробити оновлення безпеки.
Ми залишаємося категорично проти цих дій та будь-яких розкриттів поза належним узгодженням, які можуть завдати шкоди нашим клієнтам та цифровій екосистемі. Неузгоджені розкриття, які передають код для доведення концепції (proof-of-concept) непатентних вразливостей у руки зловмисників, ніколи не є виправданими і мають реальні наслідки. Наші команди безпеки по всій компанії невпинно відстежують зловмисників, які шукають такі слабкі місця для атак на Microsoft та наших клієнтів. Наш Відділ цифрових злочинів (Digital Crimes Unit) продовжуватиме порушувати справи проти цих суб’єктів та тих, хто сприяє їхній злочинній діяльності, за потреби координуючи дії з правоохоронними органами по всьому світу.”
“Якщо тактика Microsoft полягає в спробі криміналізувати недотримання часто довільних рамок “відповідального розкриття”, то вдачі їм у суді.”
Справа в тому, що Конституція Сполучених Штатів захищала б розкриття інформації Nightmare Eclipse згідно із законами про свободу слова. Однак він може порушити Закон про шахрайство та зловживання комп’ютерною інформацією (Computer Fraud and Abuse Act), залежно від того, як були отримані експлойти.
Однак формулювання в дописі Microsoft викликало обурення серед дослідників безпеки, оскільки воно, схоже, натякає на те, що компанія буде переслідувати і тих, хто просто розкриває такі експлойти.
Колишній старший аналітик безпеки Microsoft Кевін Бомонт (Kevin Beaumont) (через The Verge) викрив явне лицемірство редмондської компанії щодо ставлення до Nightmare Eclipse.
“Зачекайте… створення та розповсюдження експлойтів для нульового дня (zero-day) тепер є “злочинною діяльністю”? Хто в CELA (Корпорація Microsoft з питань юридичного захисту електронних домівок) схвалив ці формулювання? Microsoft є найбільшим розповсюджувачем нульових днів через GitHub. Недотримання вигаданих процесів “відповідального розкриття” не є незаконним.
Nightmare Eclipse також був вигнаний з GitHub (належить Microsoft), Gitlab (партнер Microsoft), його особисті дані були оприлюднені в Twitter, а його обліковий запис на MSRC (портал звітування про вразливості Microsoft) було вимкнено. Досить важко “відповідально” повідомляти про майбутні вразливості, коли тебе забанили.”
У тому ж дописі Бомонт припустив, що Microsoft раніше наймала дослідників безпеки, які публічно заявляли про продаж експлойтів ворожим державам, таким як Росія та Іран. “Microsoft свідомо найняла людину, яка неодноразово публічно розповідала про продаж експлойтів Росії та Ірану, працюючи там — роками. Вони мають довгу історію найму людей, деякі з яких мають судимості за хакерські злочини — і наймають людей, які публічно викладали нульові дні.”
Коли ваша операція настільки велика і розгалужена, як Microsoft, ви неминуче стаєте мішенню злочинців як на індивідуальному, так і на державному рівні. Microsoft також має одну з найбільших ринкових капіталізацій у світі та тисне на себе, щоб скорочувати витрати для досягнення блискучих звітів про прибутковість для Уолл-стріт.
Безпекові експлойти є неминучістю в програмному забезпеченні, але в епоху ШІ швидкість, з якою Microsoft, ймовірно, опиниться під атакою, лише експоненційно зростатиме з часом. Не здається особливо похвальним з їхнього боку дратувати дослідників так, як, здається, вони роблять зараз. Ця драма може посилити заклики до формалізації законодавства щодо розкриття вразливостей, яке довго обговорювалося в Сполучених Штатах, але ніколи не було повністю впроваджено на федеральному рівні.
Як зазначає Бомонт на DoublePulsar.com: “Якщо тактика Microsoft полягає в спробі криміналізувати недотримання часто довільних рамок “відповідального розкриття”, то вдачі їм у суді — тому що існує ціла купа попередніх рішень Microsoft та фактів, які виникнуть у цьому процесі.”
Приєднуйтесь до нас на Reddit у r/WindowsCentral, щоб поділитися своїми думками та обговорити останні новини, огляди та багато іншого.
Джез КорденНавігація соціальними посиланнямиВиконавчий редактор
Джез Корден — виконавчий редактор Windows Central, який переважно займається всім, що стосується Xbox та ігор. Джез відомий ексклюзивними новинами та аналітикою щодо екосистеми Microsoft, при цьому його заряджає чай. Слідкуйте за ним на X.com/JezCorden та слухайте подкаст XB2, присвячений, як ви здогадалися, Xbox!
Показати більше
Ви повинні підтвердити своє публічне ім’я користувача перед коментуванням
Будь ласка, вийдіть з облікового запису, а потім увійдіть знову. Вам буде запропоновано ввести ваше відображуване ім’я.
ВийтиОСТАННІ СТАТТІ
1″Вони зруйнують моє життя”: Microsoft погрожує застосувати “Відділ цифрових злочинів” щодо розкриття експлойтів нульового дня — це викликає обурення в спільноті кібербезпеки- 2Фільм “Minecraft” у квадраті — перший погляд на Алекс Кірстен Данст… і Херобрайна?
- 3007 First Light стає найшвидше продаваною грою IO Interactive, досягнувши значного етапу за перші 24 години
- 4Останнє оновлення Xbox додає нові власні кольори, розумніші сповіщення про сервіси та більше способів персоналізації консолі
- 5″Ми починаємо з Halo: Campaign Evolved”, — Метт Буті окреслює план Xbox на 2026 рік
Що це означає для користувачів: Ця суперечка між Microsoft та дослідниками безпеки може вплинути на те, як швидко виправлятимуться вразливості у Windows та інших продуктах. Хоча Microsoft намагається посилити свою кібербезпеку, її агресивна позиція може відлякувати незалежних дослідників, що потенційно сповільнить виявлення та усунення нових загроз. Для звичайних користувачів це означає, що важливо залишатися уважними до оновлень безпеки, оскільки процес виявлення та виправлення помилок може стати більш складним.
Подробиці можна знайти на сайті: www.windowscentral.com