بعد أن نشر أحد الباحثين الأمنيين سلسلة من الأخطاء في منتجات مايكروسوفت، إلى جانب التعليمات البرمجية لاستغلالها، تهدد الشركة الآن باتخاذ إجراءات قانونية واستدعاء رجال الشرطة بشأنها. يثير تهديد مايكروسوفت المستتر جدلاً طويل الأمد حول المسؤولية، إن وجدت، التي يتعين على الباحثين الأمنيين الكشف عن نقاط الضعف التي تؤثر على عمالقة التكنولوجيا الكبار والأثرياء.
نشرت Microsoft يوم الأربعاء منشورًا على مدونة ينتقد فيه الباحث، الذي يطلق عليه اسم “Nightmare Eclipse”، لكشفه علنًا عن سلسلة من الأخطاء، بما في ذلك BlueHammer وRedSun UnDefend وYellowKey. وأثرت العيوب على منتجات مثل محرك مكافحة الفيروسات المدمج في نظام التشغيل Windows Defender، وأداة تشفير القرص BitLocker.
جوهر شكاوى مايكروسوفت هو أن الباحث لم يحاول الإبلاغ عن الأخطاء حتى تتمكن الشركة من إصلاحها. وكان من الممكن أن يكون ذلك أمراً “مسؤولاً”، على حد تعبير مدونة مايكروسوفت. الجانب الآخر من حجة الشركة هو أنه من خلال نشر تفاصيل الأخطاء وكيفية استغلالها قبل تصحيحها، ربما يكون Nightmare Eclipse قد ساعد المتسللين الضارين. بعض نقاط الضعف التي كشف عنها Nightmare Eclipse تم استخدامها منذ ذلك الحين من قبل المتسللين في هجمات حقيقية، وفقًا لمايكروسوفت، وكذلك وكالة الأمن السيبراني الأمريكية CISA.
وكتبت مايكروسوفت: “ستواصل وحدة الجرائم الرقمية لدينا رفع القضايا ضد هؤلاء الممثلين وأولئك الذين يمكّنون نشاطهم الإجرامي – بالتنسيق حسب الحاجة مع سلطات إنفاذ القانون في جميع أنحاء العالم”. (تتمثل مهمة وحدة الجرائم الرقمية في مايكروسوفت في حماية الشركة من خلال استراتيجيات مختلفة، بما في ذلك “الإجراءات القانونية المدنية، والتدابير المضادة الفنية، والإحالات الجنائية، والشراكات بين القطاعين العام والخاص،” وفقا لموقعها على الإنترنت).
في سلسلة من المدونات التي تم نشرها في الأسبوعين الماضيين – دون تقديم العديد من التفاصيل المحددة – ادعى Nightmare Eclipse أنه كان على اتصال مع Microsoft، لكن الشركة أساءت معاملتهم، بما في ذلك إلغاء الوصول إلى حساب Microsoft Security Response Center الخاص بهم، وهي البوابة التي يمكن للباحثين من خلالها الإبلاغ عن نقاط الضعف إلى عملاق التكنولوجيا. كان المعنى الضمني لـ Nightmare Eclipse هو أنه لم يكن لديهم خيار سوى الكشف عن الثغرات الأمنية علنًا، وهو ما يعني بشكل أساسي أنها كانت في تلك المرحلة بمثابة يوم صفر، وهو مصطلح محدد للعيوب الأمنية غير المعروفة لصانع البرامج المتأثرة في وقت الكشف عنها أو استغلالها.
نشر الباحثون الأخطاء في مستودعات مفتوحة المصدر مثل GitHub (المملوكة لشركة Microsoft) وGitLab. وتم حظر حسابات الباحثين على تلك المنصات.
ولم يستجب Nightmare Eclipse وMicrosoft لطلب التعليق.
يحذر قدامى المحاربين في مجال الأمن السيبراني من التأثير المخيف
يعيد هذا الخلاف العام جدلاً طويل الأمد وما زال مثيرًا للجدل إلى حد ما: هل يقع على عاتق الباحثين الأمنيين المستقلين واجب التأكد من إصلاح نقاط الضعف التي يجدونها؟ وإلى أي مدى من المفترض أن يذهبوا للتأكد من أن الشركات التي تكون منتجاتها معرضة للخطر تقوم بالفعل بإصلاحها؟
أحد أجزاء هذا النقاش، والذي تمت تسويته بالكامل والاعتراف به على نطاق واسع، هو أن الباحثين يستحقون الحصول على أموال مقابل عملهم. على الرغم من أن الأمر قد يبدو واضحًا هذه الأيام، إلا أن الأمر استغرق سنوات من النضال، والذي تم تصويره جزئيًا خلال حملة تم إطلاقها في عام 2009 بعنوان “لا مزيد من الأخطاء المجانية”. وبعد ما يقرب من عشرين عاما، تدفع معظم الشركات الصغيرة والكبيرة مكافآت مالية تسمى “مكافأة اكتشاف الأخطاء”، والتي يمكن أن تصل اليوم إلى ستة أرقام أو أكثر للباحثين الذين يكشفون عن الأخطاء بشكل خاص وينسقون نشر تفاصيلهم بمجرد إصلاح الأخطاء.
ردًا على هذا الجدل الأخير مع Nightmare Eclipse، شارك عدد لا يحصى من الباحثين تجاربهم السيئة في الإبلاغ عن الأخطاء إلى Microsoft. من العدل أن نقول إن الكثير من مجتمع الأمن السيبراني غير راضٍ علنًا عن كيفية تعامل Microsoft مع هذه المشكلة. ويشمل ذلك الخبراء المخضرمين في مجال الأمن السيبراني، مثل مؤسسة شركة Luta Security، كاتي موسوريس، التي كانت رائدة في مجال مكافآت اكتشاف الأخطاء أثناء عملها في شركة Microsoft في منتصف وأواخر العقد الأول من القرن الحادي والعشرين، وأقنعت عملاق التكنولوجيا بالابتعاد عن مفهوم “الكشف المسؤول” من خلال تأطير العملية على أنها “كشف منسق”.
وقال موسوريس لـ TechCrunch، في إشارة إلى مشاركة مدونة Microsoft: “إن استدعاء مصطلح الكشف “المسؤول” كان بمثابة الضربة الأولى في كتابي”. “إضافة التهديد بالملاحقة القضائية بالإشارة [Digital Crimes Unit] لقد كان الأمر مبالغًا فيه، ولن يؤدي إلا إلى عدم ثقة الباحثين الأمنيين في Microsoft.
وحذر موسوريس من أن العواقب المترتبة على فقدان الباحثين الأمنيين الثقة مع مايكروسوفت يمكن أن تؤدي إلى تأثير مروع يتمثل في انخفاض عدد الأشخاص الذين يتقدمون للإبلاغ عن الأخطاء، “مما يجعل الأمر أقل أمانًا لنا جميعًا”.
كما انتقد الباحث الأمني والموظف السابق في شركة مايكروسوفت، كيفن بوومونت، شركة مايكروسوفت في منشور على مدونة، واصفًا موقف الشركة بأنه “حريق قمامة من صنعها”.
“…الدليل على مفهوم إنشاء استغلال الثغرات وتوزيعها لمدة صفر يوم هو “نشاط إجرامي” الآن؟” كتب بومونت. “في كثير من الأحيان، يتم وضع الإفصاح المسؤول لحماية مالك المنتج، وليس العميل – واستخدامه لمحاولة مقاضاة الأشخاص جنائيًا يعد مستوى منخفضًا جديدًا.”
عندما تقوم بالشراء من خلال الروابط الموجودة في مقالاتنا، قد نكسب عمولة صغيرة. هذا لا يؤثر على استقلالنا التحريري.
