Após um pesquisador de segurança publicar uma série de bugs não corrigidos em produtos da Microsoft, juntamente com o código para explorá-los, a empresa agora ameaça entrar com uma ação judicial e acionar a polícia. A ameaça velada da Microsoft reacende uma antiga discussão sobre qual responsabilidade, se houver, os pesquisadores de segurança têm em divulgar vulnerabilidades que afetam grandes e ricas empresas de tecnologia.
Na quarta-feira, a Microsoft publicou um post em seu blog criticando o pesquisador, que usa o pseudônimo “Nightmare Eclipse”, por divulgar publicamente uma série de bugs, incluindo BlueHammer , RedSun , UnDefend e YellowKey . As falhas afetaram produtos como o antivírus integrado do Windows, o Defender, e a ferramenta de criptografia de disco BitLocker.
A principal queixa da Microsoft é que o pesquisador não tentou reportar as falhas para que a empresa pudesse corrigi-las. Isso teria sido “responsável”, como afirmou o blog da Microsoft. O outro lado da argumentação da empresa é que, ao publicar os detalhes das falhas e como explorá-las antes de serem corrigidas, o Nightmare Eclipse pode ter auxiliado hackers maliciosos. Algumas das vulnerabilidades divulgadas pelo Nightmare Eclipse foram posteriormente utilizadas por hackers em ataques reais, de acordo com a Microsoft e a agência de cibersegurança americana CISA.
“Nossa Unidade de Crimes Digitais continuará a processar esses agentes e aqueles que facilitam suas atividades criminosas, coordenando-se, quando necessário, com as autoridades policiais em todo o mundo”, escreveu a Microsoft. (A Unidade de Crimes Digitais da Microsoft tem a missão de proteger a empresa por meio de diferentes estratégias, incluindo “ações judiciais cíveis, contramedidas técnicas, denúncias criminais e parcerias público-privadas”, de acordo com seu site ).
Em uma série de posts publicados nas últimas semanas — sem fornecer muitos detalhes específicos — a Nightmare Eclipse alegou ter entrado em contato com a Microsoft, mas que a empresa supostamente os tratou mal, inclusive revogando o acesso à sua conta no Centro de Resposta de Segurança da Microsoft, o portal onde pesquisadores podem reportar vulnerabilidades à gigante da tecnologia. A Nightmare Eclipse insinuou que não teve escolha a não ser divulgar as vulnerabilidades publicamente, o que essencialmente significava que, naquele momento, elas eram zero-days , um termo específico para falhas de segurança desconhecidas pelo desenvolvedor do software afetado no momento em que são divulgadas ou exploradas.
Os pesquisadores publicaram os erros nos repositórios de código aberto GitHub (de propriedade da Microsoft) e GitLab . As contas dos pesquisadores nessas plataformas foram banidas.
A Nightmare Eclipse e a Microsoft não responderam ao pedido de comentários.
Veteranos da cibersegurança alertam para o efeito inibidor.
Essa disputa pública reacende um debate antigo e ainda um tanto controverso: pesquisadores de segurança independentes têm o dever de garantir que as vulnerabilidades que encontram sejam corrigidas? E até que ponto eles devem ir para garantir que as empresas cujos produtos são vulneráveis realmente as corrijam?
Uma parte desse debate, que já foi totalmente resolvida e amplamente reconhecida, é que os pesquisadores merecem ser pagos pelo seu trabalho. Embora possa parecer óbvio hoje em dia, foram necessários anos de luta, em parte durante uma campanha lançada em 2009 chamada ” Chega de Bugs Grátis “. Quase 20 anos depois, a maioria das empresas, pequenas e grandes, paga recompensas financeiras por “bug bounties”, que hoje podem chegar a seis dígitos ou mais, para pesquisadores que divulgam bugs de forma privada e coordenam a publicação dos detalhes assim que os bugs são corrigidos.
Em resposta à recente controvérsia envolvendo o Nightmare Eclipse, inúmeros pesquisadores compartilharam suas experiências negativas ao reportar bugs à Microsoft. É justo dizer que grande parte da comunidade de cibersegurança está visivelmente insatisfeita com a forma como a Microsoft está lidando com essa questão. Isso inclui veteranos da cibersegurança, como Katie Moussouris, fundadora da Luta Security, que, enquanto trabalhava na Microsoft em meados e no final dos anos 2000, foi pioneira no programa de recompensas por bugs e convenceu a gigante da tecnologia a abandonar o conceito de “divulgação responsável” ao reformular o processo como ” divulgação coordenada “.
“Invocar o termo ‘divulgação responsável’ foi o primeiro ponto negativo para mim”, disse Moussouris ao TechCrunch, referindo-se à postagem do blog da Microsoft. “Adicionar uma ameaça de processo judicial mencionando a [Unidade de Crimes Digitais] foi um exagero e só fará com que os pesquisadores de segurança desconfiem da Microsoft.”
Moussouris alertou que as consequências da perda de confiança dos pesquisadores de segurança na Microsoft podem resultar em um efeito inibidor, levando a um menor número de pessoas denunciando bugs e, “tornando o ambiente menos seguro para todos nós”.
O pesquisador de segurança e ex-funcionário da Microsoft, Kevin Beaumont, também criticou a Microsoft em uma postagem no blog , descrevendo a posição da empresa como um “desastre criado por ela mesma”.
“Criar e distribuir exploits de prova de conceito para vulnerabilidades zero-day agora é considerado ‘atividade criminosa’?”, escreveu Beaumont. “A divulgação responsável muitas vezes é apresentada de forma a proteger o proprietário do produto, não o cliente — usá-la para tentar processar criminalmente pessoas é um novo nível de baixeza.”
