一位安全研究人員在微軟產品中發現了一系列未修復的漏洞,並公開發布了相應的漏洞利用代碼。對此,微軟不僅發文批評,還威脅將對其採取法律行動並報警處理。這一舉動再度點燃了業界長期以來的爭議:安全研究人員究竟是否有義務向大型科技公司披露所發現的漏洞?
微軟於本周三發布博文,點名批評網名為"Nightmare Eclipse"的研究人員,指其在未事先通知微軟的情況下,公開披露了一系列安全漏洞,包括BlueHammer、RedSun、UnDefend和YellowKey。這些漏洞波及Windows內置殺毒引擎Defender以及磁盤加密工具BitLocker等產品。
微軟的核心訴求是:該研究人員未嘗試通過正規渠道上報漏洞,以便公司及時修復。微軟在博文中將這種做法定性為缺乏"責任感"。此外,微軟還指出,Nightmare Eclipse在漏洞未被修復之前便公開了詳細資訊和利用方式,此舉可能助長了惡意黑客的攻擊行為。據微軟及美國網路安全機構CISA透露,Nightmare Eclipse所披露的部分漏洞已被黑客用於真實攻擊。
"我們的數字犯罪部門將持續追究這些行為者及其犯罪活動協助者的責任,並視情況與全球執法機構協調合作。"微軟在博文中寫道。據微軟官網介紹,其數字犯罪部門的職責涵蓋"民事法律行動、技術反制措施、刑事移送及公私合作"等多種方式保護公司利益。
Nightmare Eclipse方面則在近期連續發布的多篇博文中聲稱,自己曾嘗試與微軟溝通,但遭到了不公正對待,包括被撤銷微軟安全響應中心賬戶的訪問權限——而該中心正是研究人員向微軟上報漏洞的官方渠道。Nightmare Eclipse表示,正是由於這一系列阻礙,他們才被迫選擇公開披露漏洞。這實際上意味著,這些漏洞在披露時尚屬"零日漏洞"——即軟體開發商在漏洞被披露或利用時尚未知曉的安全缺陷。
該研究人員隨後將漏洞發布於GitHub(隸屬微軟旗下)和GitLab等開源代碼託管平台,但其在兩個平台上的賬戶均已遭到封禁。目前,Nightmare Eclipse拒絕就此事置評,微軟方面亦未就博文內容作出進一步回應。
網路安全界警告:此舉將產生寒蟬效應
這場公開爭執將一場由來已久、至今仍存爭議的辯題重新推上風口浪尖:獨立安全研究人員是否有責任確保所發現的漏洞得到修復?他們又應當為此付出多大努力,才算盡到了應盡的義務?
這一爭論中有一點已基本達成共識,即研究人員理應為其工作獲得報酬。儘管如今這聽起來不言而喻,但這一共識的形成經歷了多年的艱難爭取。2009年,業界曾發起一場名為"不再免費提供漏洞"的運動,部分記錄了這段歷史。近二十年後的今天,無論大小公司,大多已建立起"漏洞賞金"機制,對私下披露漏洞並配合協調發布的研究人員給予資金獎勵,金額有時高達六位數甚至更多。
在此次圍繞Nightmare Eclipse事件的爭論中,大量安全研究人員紛紛分享了自身向微軟上報漏洞時的不良經歷。可以說,網路安全社區的相當一部分人對微軟處理此事的方式公開表達了強烈不滿。其中包括Luta Security創始人Katie Moussouris——她曾於2000年代中後期任職微軟,是漏洞賞金制度的先驅推動者,並成功推動這家科技巨頭以"協調披露"取代原有的"負責任披露"概念。
"在我看來,援引'負責任'披露這一說法已經是第一個敗筆,"Moussouris在接受TechCrunch採訪時談及微軟的博文時表示,"再加上提及數字犯罪部門、暗示將提起刑事追訴,完全是矯枉過正,只會讓安全研究人員對微軟失去信任。"
Moussouris警告稱,一旦安全研究人員對微軟失去信任,後果可能是越來越少的人願意主動上報漏洞,從而產生寒蟬效應,"讓所有人都置身於更不安全的環境之中"。
安全研究人員、前微軟員工Kevin Beaumont也在一篇博文中公開批評微軟,將其立場稱為"自釀苦果"。
"為零日漏洞創建並發布概念驗證利用代碼,現在居然成了'犯罪行為'?"Beaumont寫道,"所謂的負責任披露,往往是為了保護產品所有者,而非用戶。如今卻被用來對人提起刑事追訴,實乃史上新低。"
Q&A
Q1:微軟為何威脅對安全研究人員Nightmare Eclipse展開刑事調查?
A:微軟指控安全研究人員Nightmare Eclipse在未事先通知微軟的情況下,公開披露了多個未修復的產品漏洞,並發布了相應的漏洞利用代碼。微軟認為此舉缺乏"責任感",且可能助長了惡意黑客的攻擊行為。部分漏洞已被黑客用於真實攻擊。微軟隨後在博文中提及將由數字犯罪部門介入,並暗示可能與執法機構協調追責。
Q2:漏洞賞金機制是如何運作的?
A:漏洞賞金(Bug Bounty)是一種由企業向安全研究人員支付報酬的機制。研究人員私下向企業報告發現的安全漏洞,待漏洞修復後再協調公開披露相關細節,企業則據此給予資金獎勵,金額有時可達六位數甚至更高。這一機制源於2009年業界發起的"不再免費提供漏洞"運動,如今已被大多數科技公司採納。
Q3:安全研究人員對微軟處理Nightmare Eclipse事件的態度如何?
A:網路安全界對微軟的處理方式普遍持批評態度。漏洞賞金制度先驅Katie Moussouris指出,微軟援引"負責任披露"並威脅刑事追訴的做法會令研究人員失去信任,產生寒蟬效應,最終導致更少人願意上報漏洞,使所有人面臨更大安全風險。前微軟員工Kevin Beaumont也直斥微軟此舉是"自釀苦果"。
