Microsoft zbanował hakera, a potem zaczął się tłumaczyć. Pozwu nie będzie

Jeszcze kilka dni temu w środowisku cyberbezpieczeństwa wrzało. Microsoft został oskarżony o próbę zastraszenia badaczy bezpieczeństwa po głośnej aferze związanej z ujawnieniem kilku poważnych luk typu zero-day w systemie Windows. Teraz firma publikuje nowe oświadczenie i zapewnia, że nie zamierza pozywać osób prowadzących legalne badania nad bezpieczeństwem.

To nagła zmiana tonu po wydarzeniach, które wywołały falę krytyki ze strony ekspertów, organizacji zajmujących się cyberbezpieczeństwem i samych badaczy. Spór dotyczy jednej z najbardziej medialnych postaci ostatnich miesięcy w świecie bezpieczeństwa IT, badacza działającego pod pseudonimem Nightmare Eclipse.

Sześć luk w Windowsie i otwarty konflikt z Microsoftem

W ostatnich tygodniach Nightmare Eclipse opublikował szczegóły sześciu niezałatanych podatności w systemie Windows wraz z działającymi kodami exploitów. Ujawnione błędy dotyczyły kluczowych komponentów systemu operacyjnego, w tym Microsoft Defendera oraz mechanizmów szyfrowania BitLocker.

Luki oznaczone nazwami BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma oraz MiniPlasma szybko zwróciły uwagę ekspertów. Sytuacja stała się jeszcze poważniejsza, gdy trzy z nich zaczęły być wykorzystywane w rzeczywistych atakach. Amerykańska agencja CISA umieściła je następnie w katalogu aktywnie wykorzystywanych podatności.

Badacz twierdził, że wcześniej próbował kontaktować się z Microsoftem poprzez oficjalne kanały zgłaszania błędów, jednak jego raporty miały zostać zignorowane. W odpowiedzi zdecydował się na publiczne ujawnienie szczegółów technicznych. Badacz zarzucił również, że Microsoft zniszczył mu życie, a jego działania są reakcją na postępowanie Microsoftu.

Microsoft odpowiadał ostrymi słowami

28 maja Microsoft opublikował wpis na blogu Microsoft Security Response Center, który został odebrany przez wielu specjalistów jako groźba pod adresem całej społeczności badaczy bezpieczeństwa. Firma zapowiedziała możliwość podejmowania działań prawnych wobec osób wspierających działalność cyberprzestępczą. Choć Microsoft nie wskazał bezpośrednio wszystkich badaczy publikujących informacje o lukach, wiele osób uznało, że komunikat został sformułowany w sposób wyjątkowo niebezpieczny.

W środowisku natychmiast pojawiły się głosy ostrzegające przed efektem mrożącym. Eksperci zwracali uwagę, że takie komunikaty mogą zniechęcić badaczy do zgłaszania podatności i prowadzenia niezależnych analiz bezpieczeństwa. Sytuację dodatkowo zaostrzyło zablokowanie kont Nightmare Eclipse w serwisach GitHub, GitLab oraz w portalu przeznaczonym dla badaczy współpracujących z Microsoftem.

Microsoft zapewnia, że nadal będzie przyjmował zgłoszenia od wszystkich badaczy za pośrednictwem swojego publicznego portalu. Po burzy wywołanej sprawą Nightmare Eclipse firma próbuje odbudować zaufanie społeczności, od której w dużej mierze zależy bezpieczeństwo milionów użytkowników Windowsa na całym świecie.

Gigant wycofuje się z niejednoznacznych komunikatów

Teraz Microsoft próbuje ugasić pożar. W nowym oświadczeniu firma podkreśla, że nie zamierza podejmować działań prawnych wobec osób prowadzących badania bezpieczeństwa ani publikujących ich wyniki. Według Microsoftu ewentualne kroki prawne mają dotyczyć wyłącznie sytuacji związanych ze świadomym wyrządzaniem szkód użytkownikom oraz działalnością przestępczą.

Koncern przyznał również, że część wcześniejszych interakcji pomiędzy zespołem MSRC a badaczami nie spełniała oczekiwań społeczności. Microsoft deklaruje poprawę komunikacji oraz większą przejrzystość w kontaktach z ekspertami zgłaszającymi nowe podatności. To jeden z nielicznych przypadków w ostatnich latach, gdy firma tak otwarcie odnosi się do krytyki płynącej ze środowiska cyberbezpieczeństwa.

AI zalewa programy bug bounty

Microsoft zwraca uwagę, że liczba zgłoszeń dotyczących błędów bezpieczeństwa gwałtownie rośnie. Coraz większą rolę odgrywają tutaj narzędzia oparte na sztucznej inteligencji, które pozwalają automatyzować wyszukiwanie podatności. Firma podaje, że od uruchomienia swoich programów bug bounty wypłaciła badaczom ponad 60 milionów dolarów nagród. Programy obejmują między innymi Windows, Azure, Microsoft Defender oraz rozwiązania związane ze sztuczną inteligencją.

Rosnąca liczba zgłoszeń powoduje jednak nowe wyzwania. Badacze coraz częściej narzekają na długie czasy reakcji oraz problemy z oceną raportów przesyłanych do największych producentów oprogramowania.