מיקרוסופט תחת ביקורת חריפה: איימה על חוקר אבטחה בחקירה פלילית

מיקרוסופט מאיימת לנקוט בצעדים משפטיים ולפנות למשטרה נגד חוקר אבטחה, שפרסם סדרת באגים שלא תוקנו במוצרי החברה, יחד עם קוד לניצול שלהם. מומחי אבטחה ציינו בסוף השבוע כי מדובר בצעד חריג, וכי "האיום של מיקרוסופט מעורר מחדש ויכוח ארוך ימים לגבי איזו אחריות, אם בכלל, יש לחוקרי אבטחה לחשוף פגיעויות, שפרסומן עלול לפגוע בענקיות הטק".

ביום ד' האחרון פרסמה מיקרוסופט פוסט בבלוג שלה ובו ביקורת על החוקר, שמכונה Nightmare Eclipse. הביקורת נגעה לכך שהוא חשף בפומבי סדרת באגים: BlueHammer ,RedSun ,UnDefend ו-YellowKey. הפגמים השפיעו על מוצרים כמו מנוע האנטי וירוס המובנה Defender ל-Windows וכלי ההצפנה BitLocker.

לפי מיקרוסופט, ביקורתה על החוקר היא שהוא לא ניסה לדווח על הבאגים, כדי שהחברה תוכל לתקן אותם. מיקרוסופט טוענת שהפעולה הזו מצד החוקר מפרה את חובת ה-"גילוי האחראי" שיש לחוקרי אבטחה.

אלא שהצד השני בטיעון של החברה הוא שמאחר שהוא פרסם את פרטי הבאגים ואופן ניצולם לפני שהוצא עבורם תיקון, ייתכן ש-Nightmare Eclipse סייע להאקרים זדוניים. חלק מהפגיעויות אותן הוא חשף שימשו מאז האקרים שערכו מתקפות אמת, לפי מיקרוסופט. גם CISA, הסוכנות לאבטחת סייבר ותשתיות של ארצות הברית, דיווחה שההאקרים אכן ניצלו את הפגיעויות.

יחידת הפשעים הדיגיטליים של מיקרוסופט

הענקית מרדמונד כתבה כי "יחידת הפשעים הדיגיטליים שלנו תמשיך להגיש תיקים נגד השחקנים הללו ואלה שמאפשרים את פעילותם הפלילית, ותעשה זאת, לפי הצורך, בתיאום עם רשויות החוק ברחבי העולם".

באתר טק קראנץ' צוין שלפי מיקרוסופט, "משימתה של יחידת הפשעים הדיגיטליים שלנו היא להגן על החברה באמצעות אסטרטגיות שונות, כולל תביעות משפטיות אזרחיות, אמצעי נגד טכניים, פעילות כנגד פעולות פליליות (הכוונה היא להגשת תלונה למשטרה בתלונה – י"ה) ושותפויות ציבוריות-פרטיות".

החוקר: לא רק שמיקרוסופט התעלמה ממני – היא פעלה נגדי

החוקר פרסם בשבועות האחרונים סדרת פוסטים, שבהם הוא לא סיפק פרטים ספציפיים רבים. מה שכן, הוא טען שם כי היה בקשר עם מיקרוסופט, אך לא רק שהחברה התעלמה מאזהרותיו, אלא היא פעלה נגדו: לדבריו, החברה ביטלה את הגישה לחשבון שלו ב-Microsoft Security Response Center – פורטל שבו חוקרים יכולים לדווח על פגיעויות לענקית הטכנולוגיה.

מומחים הסבירו כי מה שעשה החוקר הוא לאלץ את מיקרוסופט לפרסם את הפגיעויות בפומבי – מה שבעצם אומר שבאותו רגע הן היו לפגיעויות יום אפס, שעדיין לא הונפק להן טלאי, והן עלולות להיות מנוצלות. הבאגים פורסמו במאגרי קוד פתוח כמו גיטהאב, שבבעלות מיקרוסופט, וגיטלאב. חשבונות החוקר בפלטפורמות אלה נחסמו.

Nightmare Eclipse ומיקרוסופט לא הגיבו לדיווח בטק קראנץ'.

מהי האחריות של חוקרי האבטחה?

האירוע העלה שוב ויכוח ארוך שנים ושנוי במחלוקת: האם לחוקרי אבטחה עצמאיים יש חובה לוודא כי הפגיעויות שהם מצאו אכן תוקנו?

בתגובה למחלוקת הנוכחית עם Nightmare Eclipse, חוקרים רבים שיתפו את חוויותיהם הרעות בדיווח על באגים למיקרוסופט. רבים מקהילת אבטחת הסייבר לא מרוצים מהאופן שבו החברה מתמודדת עם הבעיה הזו.

חלק ממקצועני האבטחה ציינו כי "הוספת האיום של העמדה לדין על ידי אזכור יחידת הפשעים הדיגיטליים הייתה מוגזמת, ורק תגרום לחוקרי אבטחה לחשוד במיקרוסופט… זה יביא לכך שפחות חוקרים ידווחו על באגים, מה שיהפוך את העולם לפחות בטוח עבור כולם".

קווין בומונט, חוקר אבטחה שעבד בעבר במיקרוסופט, כתב כי "מה שנעשה כעת הוא שניקח בחשבון 'פעילות פלילית'. השימוש בביטוי 'גילוי אחראי' נועד להגן על בעל המוצר, לא על הלקוח. שימוש בביטוי זה כדי לנסות להעמיד אנשים לדין פלילי הוא שפל חדש".