Microsoft pod kritikama zbog spora s istraživačem

Spor između Microsofta i sigurnosnog istraživača koji koristi pseudonim Nightmare Eclipse prerastao je u širu raspravu o odnosu velikih tehnoloških kompanija prema istraživačima ranjivosti. Prema objavama TechCruncha i The Vergea, istraživač je javno objavio niz neispravljenih ranjivosti i pripadajući exploit kod za Microsoftove proizvode, nakon čega je Microsoft oštro reagirao i otvorio pitanje mogućih pravnih koraka.

TechCrunch navodi da se među objavljenim ranjivostima spominju problemi povezani s Microsoft Defenderom i BitLockerom, a Microsoft je u vlastitoj objavi kritizirao istraživača zbog javnog otkrivanja prije zakrpa. Kompanija tvrdi da takav postupak može pomoći zlonamjernim akterima, osobito ako su detalji iskorištavanja dostupni prije nego što korisnici mogu instalirati zaštitu. Prema istim navodima, neke od ranjivosti koje je Nightmare Eclipse objavio povezane su s napadima u stvarnom okruženju.

S druge strane, dio sigurnosne zajednice kritizira Microsoftov pristup jer smatra da pravni pritisak i zatvaranje računa mogu dodatno narušiti odnos između dobavljača softvera i istraživača. The Verge navodi da su istraživaču onemogućeni računi povezani s GitHubom, GitLabom i Microsoft Security Response Centerom, što dodatno komplicira tvrdnju da bi buduće ranjivosti trebao prijavljivati koordiniranim putem.

Ovaj slučaj nema jednostavnu stranu. Javno objavljivanje exploit koda za neispravljene ranjivosti može povećati rizik za korisnike, osobito kada se radi o operacijskom sustavu, sigurnosnom alatu ili enkripcijskom mehanizmu koji koriste milijuni organizacija. Istodobno, istraživači često upozoravaju da veliki dobavljači sporo reagiraju, odbijaju isplate iz bug bounty programa ili ne priznaju ozbiljnost nalaza dok pritisak ne postane javan.

Za poslovne korisnike najvažnije pitanje nije samo tko je u ovom slučaju u pravu, nego kako takvi sporovi utječu na sigurnosni ekosustav. Ako istraživači izgube povjerenje u programe koordiniranog otkrivanja, povećava se rizik da će ranjivosti završavati u javnosti ili na sivom tržištu. Ako dobavljači softvera ne reagiraju dovoljno brzo, korisnici ostaju izloženi. Ako se pak neodgovorno objavljuju tehnički detalji prije zakrpa, sigurnosni timovi mogu se naći u situaciji u kojoj napadači imaju gotov putokaz.

Slučaj je posebno osjetljiv jer Microsoft ima dominantnu ulogu u poslovnoj infrastrukturi, od Windowsa i Defendera do Azurea, Microsoft 365 okruženja, identitetskih servisa i razvojnih platformi. Svaki spor oko ranjivosti Microsoftovih proizvoda zato ima izravan učinak na tisuće organizacija koje ovise o brzini zakrpa, jasnoći komunikacije i povjerenju u procese sigurnosnog odgovora.

Rasprava oko Nightmare Eclipsea pokazuje da odgovorno otkrivanje ranjivosti više nije samo tehnički proces. To je pitanje povjerenja, pravila, ekonomskih poticaja i odgovornosti između dobavljača, istraživača, regulatora i korisnika. U vremenu sve kraćih exploit ciklusa, kompanije će morati dokazati da mogu brzo popravljati sigurnosne propuste, a pritom zadržati otvoren kanal prema zajednici koja te propuste često prva otkriva.