Güvenlik araştırmacısı "Nightmare Eclipse"in Microsoft ürünlerindeki düzeltilmemiş açıkları ve istismar kodlarını yayımlamasının ardından, teknoloji devi şimdi de araştırmacıya karşı yasal işlem başlatma ve polisi devreye sokma tehdidinde bulundu. Bu durum, güvenlik araştırmacılarının büyük ve zengin teknoloji şirketlerini etkileyen açıkları ne ölçüde ve nasıl bildirmesi gerektiği konusundaki uzun süredir devam eden tartışmayı yeniden alevlendirdi. Microsoft, çarşamba günü yayımladığı bir blog yazısında, "Nightmare Eclipse" takma adlı araştırmacıyı, aralarında BlueHammer, RedSun UnDefend ve YellowKey gibi isimler taşıyan bir dizi hatayı kamuoyuna açıklaması nedeniyle eleştirdi. Bu kusurlar, Windows'un yerleşik antivirüs motoru Defender ve disk şifreleme aracı BitLocker gibi ürünleri etkiliyordu.
MİCROSOFT'UN ŞİKAYETLERİNİN KÖKENİ
Microsoft'un şikayetlerinin temelinde, araştırmacının bu açıkları şirketin düzeltmesi için rapor etme girişiminde bulunmamış olması yatıyor. Microsoft'un blog yazısında belirttiği gibi, bu durum "sorumlu" bir davranış olarak nitelendirilecekti. Şirketin argümanının diğer bir yönü ise, açıkları düzeltilmeden önce ayrıntılarını ve nasıl istismar edilebileceklerini yayımlayarak, Nightmare Eclipse'in kötü niyetli bilgisayar korsanlarına yardımcı olmuş olabileceğidir. Microsoft'un yanı sıra ABD siber güvenlik kurumu CISA'ya göre, Nightmare Eclipse'in açıkladığı bazı güvenlik açıkları daha sonra hackerlar tarafından gerçek dünya saldırılarında kullanıldı.
SİBER GÜVENLİK CAMİASINDA TEPKİLER BÜYÜYOR
Microsoft, "Dijital Suçlar Birimimizin bu tür aktörlere ve onların suç faaliyetlerini kolaylaştıranlara karşı davalar açmaya devam edeceğini ve gerektiğinde dünya çapındaki kolluk kuvvetleriyle koordinasyon kuracağını" belirtti. Şirketin Dijital Suçlar Birimi'nin misyonu, "sivil yasal işlemler, teknik karşı önlemler, cezai sevkler ve kamu-özel ortaklıkları" gibi çeşitli stratejilerle şirketi korumaktır. Öte yandan, Nightmare Eclipse'in son birkaç haftada yayımladığı blog yazılarında, Microsoft ile temas halinde olduğunu ancak şirketin kendilerine kötü muamelede bulunduğunu, Microsoft Güvenlik Yanıt Merkezi hesabının erişimini iptal ettiğini iddia etti. Araştırmacının iması, kamuoyuna açıkları yayımlamaktan başka çaresi kalmadığı yönündeydi. Bu durum, etkilenen yazılım üreticisi tarafından açıklandığı veya istismar edildiği anda bilinmeyen güvenlik kusurları için kullanılan "sıfır gün" (zero-day) açıkları anlamına geliyordu. Araştırmacılar, açıkları Microsoft'un sahibi olduğu GitHub ve GitLab gibi platformlarda yayımladı. Bu platformlardaki hesapları ise askıya alındı. Siber güvenlik camiasından birçok isim, Microsoft'un bu tutumunu sert dille eleştirdi. Luta Security kurucusu Katie Moussouris, Microsoft'un bu tutumunun güvenlik araştırmacılarının güvenini sarsacağını ve daha az kişinin hata bildirmesine yol açarak herkes için daha güvensiz bir ortam yaratabileceği uyarısında bulundu. Eski Microsoft çalışanı ve güvenlik araştırmacısı Kevin Beaumont da Microsoft'un pozisyonunu "kendi yarattığı bir çöp yığını" olarak nitelendirdi ve sıfır gün exploit'leri için kanıt ve dağıtımın "suç faaliyeti" olarak çerçevelenmesini eleştirdi.
