מיקרוסופט שוב במרכז סערה, והפעם זה לא על עדכון שמדביק מחשבים באגים. הפעם מדובר בחוקר אבטחה שהחליט לפרסם שורה של חולשות במוצרי החברה, כולל קוד שמראה איך מנצלים אותן. התגובה של מיקרוסופט הייתה חריפה: איום בנקיטת צעדים משפטיים, והרמז לכך שיסתיימו גם בפנייה לגורמי אכיפה.
החוקר, שמופיע ברשת תחת הכינוי Nightmare Eclipse, פרסם פרטים על כמה חולשות, ביניהן BlueHammer, RedSun, UnDefend ו-YellowKey. הפגיעות השפיעו על רכיבים מוכרים: מנוע האנטיוירוס המובנה ב-Windows, Defender, וגם על כלי הצפנת הדיסק BitLocker. כלומר, לא משהו קטן ולא “נiche”. זה בדיוק מסוג הדברים שמנהל אבטחת מידע רוצה לתקן לפני שמישהו אחר יגלה.
מה מיקרוסופט מאשימה אותו לעשות?
הקו של מיקרוסופט פשוט ומאוד “חוקי”: לפי החברה, החוקר לא פנה קודם כדי לדווח על הבאגים בצורה שתאפשר להם לתקן. במילים שלה: זה היה צריך להיות “אחראי” יותר, כלומר מסלול הדיווח המסודר לחברה כדי שתוכל לסגור את הפרצות לפני שמישהו שומע עליהן.
אבל יש עוד צד לסיפור, וזה החלק שמבעבע מתחת לכל העניין. מיקרוסופט טוענת שכאשר החוקר מפרסם גם את הפרטים וגם איך לנצל את החולשות לפני שהן מתוקנות, הוא עלול לתת “סטארטר” להאקרים. ובמילים פחות משפטיות: אם יש לך מתכון לעוגה, מישהו יכול גם לאפות אותה. ואם המתכון הוא לפריצה, זה כבר סיכון אמיתי.
האם באמת השתמשו בזה בעולם האמיתי?
מיקרוסופט אומרת שחלק מהחולשות ש-Nightmare Eclipse חשף כבר נוצלו בתקיפות בעולם האמיתי. לא לבד: גם הסוכנות האמריקאית לאבטחת סייבר, CISA, מצביעה על שימוש כזה. החברה גם עדכנה שביחידת ה-“Digital Crimes Unit” היא תמשיך להביא מקרים נגד גורמים שמבצעים פשעים דיגיטליים, וגם נגד כאלה שמאפשרים אותם. הרעיון הוא לא רק “לתפוס את המבצע”, אלא גם את מי שנותן לו כלים.
מה קרה ביניהם מאחורי הקלעים?
במהלך השבועות האחרונים, החוקר פרסם פוסטים שבהם רמז שהיה בקשר עם מיקרוסופט, אבל בלי לפרט יותר מדי. לפי ההטענה שלו, היחס אליו לא היה ראוי: בין היתר הוא איבד גישה לחשבון שלו במרכז התגובה לאיומי אבטחה של מיקרוסופט, הפורטל שבו חוקרים מדווחים לחברה על חולשות.
המשמעות ש-Nightmare Eclipse רומז עליה היא די דרמטית: אם לא נותנים לך מסלול דיווח, אתה כביכול “נאלץ” לפרסם את החולשות לציבור. וברגע שהחולשות כבר חשופות, מיקרוסופט רואה בזה מצב של Zero-days: פגמי אבטחה שעדיין לא ידועים באופן רשמי ליצרנית התוכנה או שלא תוקנו בזמן הגילוי, ולכן מנוצלים מהר.
הקהילה לא קונה את זה
והנה החלק שמכניס אותנו לוויכוח הוותיק של עולם האבטחה: האם לחוקרים עצמאיים יש “חובה מוסרית” לוודא שהחברה מתקנת את הפגיעות לפני שמפרסמים אותן? ואם כן, אז כמה רחוק הם צריכים ללכת כדי לגרום לתיקון להתרחש באמת?
יש נקודה אחת שכן מוסכמת כמעט על כולם: חוקרים צריכים להרוויח כסף על העבודה שלהם. זה לא היה טריוויאלי בעבר. בשנים האחרונות, חברות התחילו לשלם פרסי Bug Bounty על גילוי פרצות בצורה פרטית, ובמקרים רבים תוך תיאום פרסום רק אחרי תיקון. הסכומים יכולים להגיע למספרים לא קטנים בכלל.
בגלל המחלוקת הנוכחית, חוקרים רבים משתפים חוויות רעות מדיווח למיקרוסופט. לא כולם, אבל בהחלט מספיק כדי להרגיש שהקהילה כועסת. במיוחד בקרב ותיקים בתחום, כמו Katie Moussouris, מייסדת Luta Security, שפעם הייתה מעורבת בקידום באונטי באגים במיקרוסופט. היא טוענת שהשימוש במונח “אחראי” בדיווח הוא חרב פיפיות, ובנוסף, איום בהעמדה לדין רק גורם לחוקרים לפחד לדווח.
עוד מישהו שירד על מיקרוסופט: Kevin Beaumont, חוקר אבטחה לשעבר בעברה במיקרוסופט. הוא תיאר את עמדת החברה כמשהו שמרגיש כמו “שריפה שנוצרה מעצמה”, ושאל בצורה חדה: האם יצירת והפצת הוכחת יכולת לניצול של Zero-day הפכה אוטומטית ל”פעילות פלילית”? מבחינתו, זה צעד נמוך שמערב אינטרס של הגנה על הלקוח עם אכיפה נגד חוקרים.
אז מי צודק?
אין פה תשובה שחורה. מצד אחד, פרסום בלי תיאום בזמן עלול לסכן אנשים. מצד שני, אם חברות הופכות דיווח לבמה לאיומים משפטיים, פחות אנשים ימהרו לשתף חולשות, והעולם יהיה פחות בטוח לכולנו. ובאופן מאוד ישראלי: כולם רוצים אבטחה, אבל אף אחד לא רוצה להיות זה שנכנס לנעליים של “החוקר שהיה אמור לדעת”.
