Bir güvenlik araştırmacısının, Microsoft ürünlerindeki yamanmamış açıkları ve bunları nasıl istismar edeceklerine dair kodları yayımlamasının ardından, şirket yasal işlem başlatma ve durumu kolluk kuvvetlerine bildirme tehdidinde bulundu. Microsoft’un dolaylı tehdidi, güvenlik araştırmacılarının büyük teknoloji devlerine etki eden açıkları bildirme sorumluluğuna dair süregelen bir tartışmayı yeniden alevlendirdi.
Microsoft, Çarşamba günü “Nightmare Eclipse” takma adını kullanan araştırmacıyı, Windows’un yerleşik antivirüs motoru Defender ve BitLocker disk şifreleme aracı gibi ürünleri etkileyen açıkları kamuya açık bir şekilde yayımlamakla eleştirerek bir blog yazısı yayınladı. Açıklanan açıklar arasında BlueHammer, RedSun, UnDefend ve YellowKey yer alıyor.
Microsoft’un şikayetlerinin merkezinde, araştırmacının açıkları şirketin düzeltmesi için bildirmek yönündeki bir çaba göstermemesi bulunuyor. Şirketin blogunda belirttiği gibi, bu “sorumlu” bir davranış olurdu. Microsoft’un diğer argümanı ise açıkların yayımlanması ve bunların nasıl istismar edileceğinin kamuya duyurulmasının kötü niyetli hackerlara yardımcı olabileceğiydi. Nightmare Eclipse tarafından açıklanan bazı açıkların, Microsoft ve ABD siber güvenlik ajansı CISA’ya göre, gerçek dünya saldırılarında kullanıldığı bildirildi.
Microsoft, “Dijital Suçlar Birimimiz, bu tür eylemde bulunan kişiler ve suç faaliyetlerini destekleyenler hakkında dava açmaya devam edecektir — gerekli olduğunda dünya genelindeki kolluk kuvvetleriyle koordinasyon sağlayarak,” ifadelerini kullandı. (Microsoft Dijital Suçlar Birimi şirketi, “sivil hukuki işlemler, teknik karşı tedbirler, suç duyuruları ve kamu-özel ortaklıkları” gibi farklı stratejilerle koruma misyonuna sahiptir).
Son birkaç haftada yayımladığı bir dizi blogda detaylara fazla girmeden, Nightmare Eclipse Microsoft ile iletişimde bulunduğunu ancak şirketin kendilerine kötü davrandığını, güvenlik zafiyetlerini bildirmek için kullanılan Microsoft Güvenlik Yanıt Merkezi hesabına erişimlerinin iptal edildiğini belirtti. Nightmare Eclipse, bu durumun kendilerini açıkları halka açıklamak zorunda bıraktığını öne sürdü; bu durum, gizli bir güvenlik açığını tanımlamak için kullanılan sıfır gün (zero-day) terimini de beraberinde getiriyor.
Araştırmacılar, açıkları Microsoft’un sahibi olduğu GitHub ve GitLab gibi açık kaynak platformlarda yayınladı. Bu platformlardaki araştırmacıların hesapları ise yasaklandı.
Nightmare Eclipse ve Microsoft, yorum talebine yanıt vermedi.
Yıldız Avcılarının Korkutucu Etkisi Üzerine Uyarılar
Bu tartışma, bağımsız güvenlik araştırmacılarının buldukları açıkların düzeltilmesini sağlama sorumluluğu olup olmadığına dair süregelen ve hala tartışmalı bir konuyu gündeme getiriyor. Araştırmacıların, zafiyetleri tespit edilen firmaların bu açıkları düzeltmesini sağlamak için ne ölçüde çaba göstermesi gerektiği sorusu da bu tartışmanın bir parçasıdır.
Bu tartışmanın bir kısmı ise kesin olarak çözümlenmiş ve genel kabul görmüştür; bu da araştırmacıların yaptıkları işler için ödeme almaları gerektiğidir. Günümüzde oldukça sıradan görünen bu durum, 2009 yılında başlatılan “Ücretsiz Hatalar Yok” kampanyasında yaşanan mücadelelerle belirlenmiştir. Neredeyse 20 yıl sonra, büyük veya küçük birçok şirket, açıkları özel olarak bildirip detaylar düzeltildikten sonra yayımlamaları karşılığında araştırmacılara “bug bounty” finansal ödüller vermektedir; bu ödemeler günümüzde altı haneli rakamlara kadar çıkabilmektedir.
Nightmare Eclipse ile yaşanan bu en son tartışmaya tepki olarak, sayısız araştırmacı Microsoft’a bildirimde bulunma konusunda yaşadıkları kötü deneyimleri paylaştı. Siber güvenlik topluluğunun büyük bir bölümünün, Microsoft’un bu konudaki tutumlarından memnun olmadığı söylenebilir. Bu durum, 2000’lerin ortalarında Microsoft için çalışan Luta Security kurucusu Katie Moussouris gibi siber güvenlik veteranlarını da kapsamaktadır. Moussouris, Microsoft’un “sorumlu bildirim” anlayışından uzaklaşarak “koordineli bildirim” sürecini benimsemesini sağlamıştır.
Moussouris, TechCrunch’a verdiği demeçte, “Sorumlu bildirim teriminin kullanılmaya başlanması, benim gözümde birinci darbe oldu,” diyerek Microsoft’un blog yazısına atıfta bulundu. “Dijital Suçlar Birimi’ni belirterek hukuki işlem tehdidinin eklenmesi aşırıydı ve bu, güvenlik araştırmacılarının Microsoft’a duyduğu güvenin azalmasına neden olacaktır,” dedi.
Moussouris, güvenlik araştırmacılarının Microsoft’a olan güvenini kaybetmesinin sonuçlarının, daha az kişinin zafiyetleri bildirmesine yol açabileceğini ve bunun da “hepimiz için daha güvensiz bir durum yaratacağını” belirtti.
Güvenlik araştırmacısı ve eski Microsoft çalışanı Kevin Beaumont da bir blog yazısında Microsoft’u eleştirdi ve şirketin tutumunu “kendi yarattıkları bir çöp kutusu ateşi” olarak tanımladı.
“Sıfır günler için kanıt konsepti oluşturmanın ve dağıtmanın artık ‘suç faaliyeti’ sayılması mı?” diye yazdı Beaumont. “Sorumlu bildirim genellikle ürün sahibini korumak için çerçevelenir, müşteriyi değil — bunu suçu işleyenleri cezai olarak kovuşturmak için kullanmak, yeni bir seviyeye düşmek demektir.”
Makale içerisinde bağlantılar üzerinden yapılan satın alımlarda, küçük bir komisyon kazanabiliyoruz. Bu durum, editoryal bağımsızlığımızı etkilemez.
