«Они разрушат мою жизнь»: Microsoft угрожает использовать «Отдел по борьбе с цифровыми преступлениями» из-за раскрытия эксплойтов нулевого

Microsoft, кажется, решила перейти в наступление против исследователей в области кибербезопасности. 😠 Недавно они пригрозили использовать своё "Подразделение по борьбе с цифровыми преступлениями" против тех, кто раскрывает уязвимости нулевого дня, что вызвало бурю негодования в сообществе специалистов по кибербезопасности.

Работая над чем-то хакерским, или вроде того. (Источник изображения: Getty Images / boonchai wedmakawand)

Знаю я этих ребят, исследователей безопасности, и Microsoft для них — такой себе «белый друг». 😉 Когда ты крупнейший игрок на рынке операционных систем, на тебя постоянно охотятся. Вспомните, как русскоязычные хакеры прошлись по Microsoft 365, вскрыв аккаунты американских чиновников. 🤦‍♂️

Чтобы противостоять этому, Microsoft сотрудничает с хакерами, как известными, так и не очень. Они ищут уязвимости, а потом сообщают о них. У Microsoft даже есть программа " Bug Bounty ", где эти этичные хакеры могут получить неплохой куш за найденные дыры. Но, как оказалось, не всё так просто.

Из личного опыта с Xbox и Windows я знаю, что получить заслуженные деньги — это отдельная история. Несколько исследователей рассказывали, что их не очень-то справедливо вознаградили. И, кажется, именно эта история с невыплатой или несправедливым вознаграждением привела к нынешнему скандалу.

Один из исследователей, известный как Nightmare Eclipse, в последнее время активно публиковал информацию о шести серьёзных уязвимостях в Windows и других системах Microsoft. Обычно такие вещи сначала сообщают разработчикам, чтобы те успели всё исправить. Но, судя по прошлым записям Eclipse, он решил действовать иначе — возможно, из-за какой-то обиды.

Инфраструктура Microsoft всё чаще становится мишенью для хакеров, как обычных, так и государственного уровня. Даже Иран не так давно намекал на атаки на дата-центры Microsoft в ходе конфликта с США.

Вот что он написал: "Обычно я стараюсь общаться с ними, чтобы они исправили баги," — поделился Eclipse (через PCMag), — "но, если коротко, мне лично сообщили, что меня "уничтожат" и они это сделали. Не знаю, было ли это только со мной, но многие просто смирились бы, но они забрали всё. Играли в свои детские игры. Было настолько плохо, что я задавался вопросом, имею ли я дело с корпорацией или с кем-то, кто просто наслаждается моими страданиями. Но, кажется, это было коллективное решение."

И это не единственная история, которую я слышал.

Microsoft, естественно, очень серьёзно относится к безопасности. Ведь помимо миллионов обычных пользователей, есть ещё и военные контракты. И, конечно, им крайне важно поддерживать хорошие отношения с теми, кто помогает им находить и исправлять ошибки.

Облако Azure.

Каждую неделю появляются новости о том, как ИИ может поставить под угрозу кибербезопасность. Microsoft, похоже, выбрала более жёсткий подход, начав преследовать как хакеров, так и тех, кто публикует информацию об уязвимостях. В ответ на действия Nightmare Eclipse, Microsoft выпустила заявление:

"Уязвимости, известные как RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma и MiniPlasma, не были раскрыты ответственно. В ответ на неоправданный риск, созданный этими раскрытиями, наши команды по безопасности работали круглосуточно, чтобы понять последствия, защитить наших клиентов и разработать обновления безопасности.

Мы по-прежнему категорически против этих действий и любого раскрытия информации вне надлежащей координации, которое может нанести вред нашим клиентам и цифровой экосистеме. Нескоординированные раскрытия, которые передают код proof-of-concept для неотлаженных уязвимостей в руки злоумышленников, никогда не оправданы и имеют реальные последствия. Наши группы по безопасности по всей компании неустанно отслеживают злоумышленников, ищущих такие слабости для атак на Microsoft и наших клиентов. Наше Подразделение по борьбе с цифровыми преступлениями продолжит возбуждать дела против этих лиц и тех, кто способствует их преступной деятельности, координируя действия с правоохранительными органами по всему миру по мере необходимости."

"Если тактика Microsoft заключается в том, чтобы пытаться криминализировать несоблюдение часто произвольных рамок "ответственного раскрытия", удачи вам в этом в суде. У Microsoft есть всякие прошлогодние решения и факты, которые всплывут в таком процессе."

Кевин Бомонт через DoublePulsar.com.

С одной стороны, в США такие действия, как у Nightmare Eclipse, могут быть защищены свободой слова. Но, возможно, он нарушил закон о компьютерном мошенничестве и злоупотреблениях, в зависимости от того, как были получены эксплойты.

Однако, формулировки в блоге Microsoft вызвали бурю негодования среди исследователей безопасности. Кажется, они намерены преследовать не только тех, кто непосредственно взламывает, но и тех, кто просто публикует информацию об уязвимостях.

Кевин Бомонт, бывший старший аналитик безопасности Microsoft, открыто раскритиковал позицию Редмонда. "Подождите... создание и распространение эксплойтов proof-of-concept для zero-day теперь "преступная деятельность"? Кто там в CELA это одобрил? Microsoft сама является крупнейшим распространителем zero-day через GitHub. Несоблюдение выдуманных процессов "ответственного раскрытия" — это не незаконно."

Он также добавил, что Nightmare Eclipse был забанен на GitHub (принадлежит Microsoft) и GitLab (партнёр Microsoft), его личность раскрыли в Twitter, а аккаунт в MSRC (портал Microsoft для отчетности об уязвимостях) заблокировали. "Очень сложно "ответственно" сообщать об уязвимостях в будущем, когда тебя забанили."

Бомонт также намекнул, что Microsoft раньше нанимала исследователей, которые открыто говорили о продаже эксплойтов таким странам, как Россия и Иран. "Microsoft сознательно нанимала людей, которые публично говорили о продаже эксплойтов России и Ирану, работая там годами. У них долгая история найма людей, в том числе с судимостями за хакерство — и найма людей, которые публично публиковали zero-day."

Когда ты такая огромная корпорация, как Microsoft, ты неизбежно становишься мишенью для преступников, как отдельных лиц, так и государственных структур. К тому же, Microsoft — одна из самых дорогих компаний в мире, и ей приходится идти на разные уловки, чтобы показать впечатляющую прибыль.

Уязвимости в ПО — это неизбежность, но в эпоху ИИ скорость, с которой Microsoft будет подвергаться атакам, только возрастёт. И, честно говоря, не очень-то благородно с их стороны так агрессивно относиться к исследователям.

Как подводит итог Бомонт: "Если Microsoft думает, что может криминализировать тех, кто не следует их "правилам ответственного раскрытия", то им стоит быть готовыми к тому, что в суде им придётся очень нелегко."