GitHub zbanował wściekłego hakera. Z zemsty wyszukuje dziury w Windows

Internetowa wojna między Microsoftem a anonimowym badaczem bezpieczeństwa właśnie weszła na nowy poziom. GitHub usunął konto użytkownika znanego jako „Nightmare-Eclipse”, który od tygodni publikował niezałatane exploity dla Windowsa i otwarcie groził gigantowi z Redmond. Problem w tym, że po zablokowaniu repozytorium haker niemal natychmiast przeniósł się na GitLaba i dalej udostępnia kod pozwalający przejmować kontrolę nad komputerami.

Cała historia wygląda jak cyberpunkowy thriller. Są publiczne groźby, zero-daye dla Windowsa, oskarżenia o zdradę i narastający konflikt między korporacją a człowiekiem, który twierdzi, że został potraktowany jak wróg po zgłaszaniu luk bezpieczeństwa.

Microsoft i tajemniczy badacz weszli na wojenną ścieżkę

Sprawa zaczęła się na początku kwietnia, gdy Nightmare-Eclipse opublikował exploit nazwany BlueHammer. Luka umożliwiała zwykłemu użytkownikowi zdobycie uprawnień SYSTEM, czyli najwyższego poziomu dostępu w Windowsie. Dla administratorów bezpieczeństwa takie odkrycie brzmi jak alarm przeciwpożarowy.

Badacz nie ograniczył się jednak do publikacji technicznych szczegółów. W emocjonalnych wpisach oskarżył Microsoft o złamanie wcześniejszych ustaleń i „wbicie noża w plecy”. Twierdził, że firma zostawiła go „bez dachu nad głową”, a późniejsze działania wyglądały jak osobista vendetta.

Od tamtej chwili sytuacja zaczęła eskalować błyskawicznie. Microsoft łatał kolejne luki, a Nightmare-Eclipse publikował następne exploity niemal natychmiast po wydaniu poprawek. Społeczność bezpieczeństwa zaczęła obserwować to jak niekończący się pojedynek.

Nightmare-Eclipse nie wygląda na osobę, która zamierza się wycofać. Wręcz przeciwnie, kolejne wpisy sugerują dalszą eskalację konfliktu.

Zero-day pojawiały się jeden po drugim

W kolejnych tygodniach badacz ujawniał następne narzędzia ataku. Pojawiły się exploity związane z Windows Defenderem, błędy pozwalające na eskalację uprawnień oraz metoda obchodzenia szyfrowania BitLocker przy użyciu pamięci USB.

Największe poruszenie wywołał jednak exploit wykorzystujący lukę, która według doniesień miała pozostawać nierozwiązana przez sześć lat od momentu wcześniejszego zgłoszenia przez Google.

Microsoft publicznie przyznawał istnienie części problemów, ale jednocześnie coraz mocniej krytykował sposób działania hakera. Firma podkreślała, że publikowanie aktywnych exploitów przed wdrożeniem zabezpieczeń narusza zasady odpowiedzialnego ujawniania podatności. W komunikatach bezpieczeństwa gigant z Redmond unikał jednak wymieniania Nightmare-Eclipse jako odkrywcy błędów. Dla wielu osób ze środowiska cyberbezpieczeństwa wyglądało to jak otwarty konflikt między korporacją a niezależnym researcherem.

GitHub powiedział „dość”

Kilka dni temu należący do Microsoftu GitHub usunął konto Nightmare-Eclipse wraz z repozytoriami zawierającymi exploity. Dla części użytkowników była to przewidywalna decyzja. Publiczne udostępnianie niezałatanych narzędzi ataku stanowi gigantyczne ryzyko dla milionów komputerów.

Tyle że ban nie zakończył sprawy.

Badacz praktycznie od razu założył nowe repozytorium na GitLabie i ponownie opublikował sześć exploitów. Przy okazji opublikował kolejne agresywne wpisy wymierzone w Microsoft. Największe emocje wzbudził fragment, w którym napisał: „Zapamiętajcie tę datę, 14 lipca. Dopilnuję, żeby wasze kości zostały tego dnia połamane”. Internet natychmiast zaczął spekulować, czy chodzi o zapowiedź kolejnych masowych publikacji luk bezpieczeństwa dla Windowsa.

Społeczność bezpieczeństwa jest podzielona

Cała historia wywołała ogromną dyskusję w środowisku cybersecurity. Jedni uważają Nightmare-Eclipse za skrajnie nieodpowiedzialnego hakera, który naraża użytkowników Windowsa na realne ataki. Inni widzą w nim przykład frustracji narastającej wśród niezależnych badaczy bezpieczeństwa.

W sieci pojawiły się komentarze sugerujące, że wielkie firmy technologiczne coraz częściej marginalizują researcherów, jednocześnie próbując kontrolować sposób ujawniania luk.

Krytycy Microsoftu zwracają uwagę, że część błędów istniała przez lata. Zwolennicy firmy odpowiadają, że publikowanie gotowych exploitów przed wdrożeniem zabezpieczeń daje cyberprzestępcom gotowe narzędzia do ataków.

W praktyce najbardziej zagrożeni pozostają zwykli użytkownicy Windowsa. Każda publicznie ujawniona luka typu zero-day staje się potencjalnym celem dla grup ransomware, cyberprzestępców i autorów malware’u.