„Microsoft" pagrasino tyrėjui kriminaliniu tyrimu — ir atsidūrė po padidinamuoju stiklu

Įsivaizduokite, kad randate kelias saugumo spragas „Microsoft" produktuose, bandote apie jas pranešti, o atsakydama kompanija panaikina jūsų paskyrą tyrėjų portale ir pagrasina kriminaliniu tyrimu. Būtent tokia situacija dabar sprogo tarp „Microsoft" ir saugumo tyrėjo, pasivadinusio „Nightmare Eclipse". Ir šis konfliktas yra daug didesnis nei vienas tyrėjas ar viena kompanija — jis kelia klausimą, kur saugumo tyrimo riba ir kas nusprendžia, kurioje pusėje yra įstatymas.

Gegužės 29 dieną „Microsoft" paskelbė tinklaraščio įrašą, kuriame kritikavo tyrėją už viešą kelių pažeidžiamumų atskleidimą be išankstinio įspėjimo. Pažeidžiamumai — tarp jų BlueHammer, RedSun, UnDefend ir YellowKey — paveikė „Windows Defender" antivirusinį variklį ir „BitLocker" disko šifravimo įrankį. Tai ne smulkmenos: Defender yra numatytoji apsauga milijardams „Windows" naudotojų, o „BitLocker" saugo visą disko turinį.

„Microsoft" pozicija aiški: tyrėjas elgėsi neatsakingai, nes paskelbė ne tik pažeidžiamumų aprašymus, bet ir išnaudojimo kodą prieš tai, kai kompanija spėjo išleisti pataisas. Pasak „Microsoft" ir JAV kibernetinio saugumo agentūros CISA, kai kurie iš šių pažeidžiamumų jau buvo panaudoti realiose atakose. Kitaip tariant, įsilaužėliai perskaitė tą patį „GitHub" įrašą kaip ir sistemos administratoriai — ir panaudojo jį pirmieji.

Tačiau „Nightmare Eclipse" versija yra kitokia. Keliuose savo tinklaraščio įrašuose, paskelbtuose per pastarąsias dvi savaites, tyrėjas teigia, kad bandė bendrauti su „Microsoft" per oficialų saugumo tyrimų centrą (MSRC), tačiau kompanija atšaukė jo prieigą prie portalo. Tai esminis momentas: jei tyrėjas sako tiesą, tada jis liko be jokio oficialaus kanalo pranešti apie savo atradimus.

Kas pirmas sulaužė taisykles?

Likęs be prieigos prie MSRC, tyrėjas publikavo pažeidžiamumus viešai — „GitHub" (kuris, ironiška, priklauso „Microsoft") ir „GitLab". Abi platformos tyrėjo paskyras užblokavo. Taigi tyrėjas, kuris teigia norėjęs padėti, dabar neturi nei paskyros, nei platformos, o kompanija jam grasina teisiniais veiksmais.

„Microsoft" Skaitmeninių nusikaltimų padalinys savo pranešime aiškiai pasakė: „Ir toliau kelsime bylas prieš tokius veikėjus ir tuos, kurie sudaro sąlygas jų nusikalstamai veiklai — prireikus bendradarbiaudami su teisėsauga visame pasaulyje." Retorika, kurioje saugumo tyrėjas prilyginamas nusikaltėliui, sukėlė audringą reakciją kibernetinio saugumo bendruomenėje.

Tai ne pirmas kartas, kai didelė technologijų kompanija grasinasi teisinėmis priemonėmis prieš tyrėjus. Tačiau šis atvejis yra išskirtinis savo simbolika: „Microsoft" priklauso „GitHub" — platforma, kurią milijonai programuotojų naudoja kodui dalintis, įskaitant saugumo tyrėjus. Kai ta pati kompanija, kuri valdo platformą, grasina kriminaliniu tyrimu už kodą, paskelbtą toje platformoje, kažkas sistemoje akivaizdžiai neveikia.

Sistema, kuri veikia tik viena kryptimi

Praktinė problema yra ta, kad atsakingo atskleidimo sistema veikia tik tada, kai abi pusės ja naudojasi. Standartinė procedūra — tyrėjas randa pažeidžiamumą, praneša gamintojui, gauna atsakymą per 90 dienų, ir pataisa išleidžiama prieš viešą atskleidimą. Tai veikia, kai gamintojas bendradarbiauja.

Dešimtys tūkstančių tyrėjų kasmet naudoja MSRC ir panašias programas — „Google" turi Project Zero, „Apple" turi Apple Security Bounty, „Meta" moka milijonus už rastas spragas. Šios programos yra tapusios esminiu kibernetinio saugumo infrastruktūros elementu, be kurių daugelis pažeidžiamumų liktų nežinomi mėnesius ar metus.

Bet kas atsitinka, kai tyrėjas praneša apie pažeidžiamumą, o mainais gauna paskyros blokavimą? Sistema sugriūva. Ir tada pažeidžiamumai atsiduria ne privačiame el. laiške, o „GitHub" repozitorijoje, prieinamoje visiems — įskaitant tikrus nusikaltėlius. Tai paradoksas: kuo prasčiau kompanija elgiasi su tyrėjais, tuo didesnė tikimybė, kad pažeidžiamumai bus atskleisti pavojingu būdu.

Tai nėra tik teorinis klausimas. „Google" Project Zero jau daugelį metų laikosi 90 dienų atskleidimo politikos, nepriklausomai nuo to, ar gamintojas išleido pataisą. Ir tai veikia — kompanijos žino, kad laikrodis tiksi, ir pataisos išleidžiamos greičiau. Bet Project Zero yra „Google" padalinys su advokatais ir resursais. Kai nepriklausomas tyrėjas bando tą patį, pasekmės gali būti visiškai kitokios.

Kas toliau?

Kibernetinio saugumo bendruomenė dabar laukia dviejų dalykų. Pirma, ar „Microsoft" iš tiesų imsis teisinių veiksmų — ar tai tik grasinimas. Antra, ar pats „Nightmare Eclipse" paskelbs daugiau detalių apie savo bandymus susisiekti su MSRC. Jei paaiškės, kad tyrėjas iš tiesų bandė pranešti oficialiai ir buvo ignoruotas, „Microsoft" pozicija taps ypač silpna.

Abi pusės kol kas neatsako į žiniasklaidos užklausas. Nei „Microsoft", nei „Nightmare Eclipse" nepateikė papildomų komentarų „TechCrunch" žurnalistams. Tai dažnas ženklas, kad abi pusės vertina teisines rizikas ir renkasi tylą.

Precedentas čia svarbus ne tik JAV. „Microsoft" veikia visame pasaulyje, ir jei kompanija pradeda traktuoti saugumo tyrėjus kaip potencialius kriminalinius įtariamuosius, tai siunčia signalą kiekvienam, kas randa spragą „Windows", „Office", „Azure" ar bet kuriame kitame produkte. Tas signalas skamba maždaug taip: „Geriau nieko nesakyk."

O tylėjimas kibernetinio saugumo pasaulyje yra prabanga, kurios negali sau leisti nei kompanijos, nei jų naudotojai.