Nanganganib ang Microsoft ng legal na aksyon matapos maglathala ang isang mananaliksik ng mga unpatched bug na may exploit code
Microsoft pinupuna dahil sa alitan sa paglalantad
Humaharap ang Microsoft sa kritikismo matapos magbabala na maaari nitong isulong ang legal na aksyon at isangkot ang mga awtoridad laban sa isang security researcher na pampublikong naglathala ng serye ng mga unpatched na kahinaan sa mga produkto nito, kasama ang proof-of-concept exploit code.
Sa isang blog post na inilathala noong Miyerkules, kinwestiyon ng kumpanya ang mananaliksik na gumagamit ng handle na “Nightmare Eclipse,” dahil inilathala nito ang mga detalye ng mga bug na sinasabi ng Microsoft na nakaapekto sa mga produkto kabilang ang Windows Defender at BitLocker. Sinabi ng Microsoft na ang paglalantad ay hindi “responsable” dahil hindi pa napatch ang mga kahinaan bago naging pampubliko ang impormasyon.
Binuhay muli ng tugon ng kumpanya ang matagal nang debate tungkol sa kung paano dapat hawakan ng mga security researcher ang mga kahinaan sa malalaking software platform, lalo na kapag ang mga depekto ay nakaapekto sa malawak na ginagamit na mga tool mula sa isang kompanya na may kakayahan ng Microsoft.
Ayon sa kumpanya at sa U.S. cybersecurity agency na CISA, sinabi ng Microsoft na ang ilang mga kahinaan na inilantad ni Nightmare Eclipse ay ginamit na ng mga hacker sa mga totoong pag-atake. Idinagdag din nito na ipagpapatuloy ng Digital Crimes Unit ang pagsasampa ng mga kaso laban sa mga pinaniniwalaang nakikilahok sa kriminal na aktibidad, kasama ang koordinasyon sa mga ahensya ng pagpapatupad ng batas.
Sa isang serye ng mga blog post sa nakalipas na ilang linggo, inangkin ni Nightmare Eclipse na nakipag-ugnayan sila sa Microsoft at sinabi na hindi maayos ang pagtrato ng kumpanya sa kanila. Alega ng mananaliksik na inalis ng Microsoft ang kanilang access sa Microsoft Security Response Center account, ang portal na ginagamit ng mga researcher para iulat ang mga kahinaan. Iminungkahi ng mananaliksik na iyon ang nag-iwan sa pampublikong paglalantad bilang tanging opsyon.
Ang mga bug ay pagkatapos inilathala sa mga open source repository, kung saan sinamahan ang mga ito ng code na naglalayong ipakita kung paano sila maaaring ma-exploit. Nang ilantad nang wala pang mga patch na inilagay, ang mga isyu ay naging mga zero-days — mga depekto na hindi alam ng gumawa ng software sa oras ng paglalantad o pag-eexploit.
Ang batikos ng Microsoft ay naka-sentro sa argumento na dapat munang inireport ng mananaliksik ang mga bug nang pribado. Ang posisyon ng mananaliksik, ayon sa mga inilathalang blog post, ay iniiwan sila ng paraan na walang makabuluhang landas para sa responsible disclosure dahil sa paraan ng paghawak ng Microsoft sa sitwasyon. Ang alitan ngayon ay naglalagay sa proseso ng security response ng Microsoft sa ilalim ng pagmamasid, habang nagbubukas ng bagong mga tanong kung saan dapat iguhit ang linya sa pagitan ng pananaliksik na para sa pampublikong interes at pag-uugaling maaaring makatulong sa mga umaatake.
Mga Pinagmulan:
Mag-browse nang pribado gamit ang Doppler VPN — walang logs, isang tap lang para kumonekta.