5月31日消息,Windows作为全球使用最广的操作系统,连同微软旗下的云服务Azure,几乎成了黑客眼中的“标靶”——漏洞频出,攻击不断。
白帽黑客公开Windows零日漏洞
为了应对这类威胁,微软长期跟安全研究员(也就是常说的白帽黑客)合作,请他们帮忙找漏洞、上报问题,并以此换取赏金。逻辑很清晰:你帮我找茬,我给你钱。但实际情况呢?据WindowsCentral从Xbox和Windows相关消息源了解,想拿到这笔钱,比微软官方文档描述的难得多——好几位研究员都反馈过,奖金一直没兑现。
最近,一位ID为“梦魇日蚀”(Nightmare Eclipse)的安全研究员直接公开了Windows及其他微软系统的六个高危漏洞。按照行业惯例,这类漏洞本该悄悄提交给微软,等补丁出来再修复。可他偏偏选择了公开曝光。根据他此前发布的博客,这背后更像是一场报复。
“往常我都会一遍遍催促他们修复漏洞,”他在接受PCMag采访时写道,“简单来说,微软方面曾亲口扬言要毁掉我的生活,而他们确实这么做了。我不知道是不是只有我遭遇了这些,还是还有其他人。我想大多数人会选择忍气吞声、自认倒霉,但他们夺走了我的一切。他们百般刁难,使出各种幼稚的手段针对我。那段日子实在难熬,我甚至分不清自己面对的究竟是一家大型企业,还是一群以折磨他人为乐的人。但显然,这是微软内部集体做出的决定。”
微软与美国军方有合作,按理说网络安全应当是其生命线。可过去几年,Azure接连曝出多起影响恶劣的黑客入侵事件,让CEO萨提亚·纳德拉脸上无光。维护好与善意白帽黑客的合作关系,本该是保护用户安全的核心举措——但眼下这条路似乎越走越窄。
几乎每周都有新消息说,依托人工智能的黑客攻击正在从多个角度碘伏全球网络安全格局。而微软对黑客以及公开漏洞的人员,态度却愈发强硬。针对“梦魇日蚀”的爆料,微软正式回应如下:
此次被曝光的六大漏洞——赤日、无御、蓝锤、黄钥、绿等离子、迷你等离子——均未按照规范流程进行负责任披露。这些公开行为带来了不必要的安全风险,为此我们的安全团队已全天候开展工作,评估漏洞影响、保护用户安全并研发安全补丁。我们坚决反对此类行为。任何脱离正规协作流程、可能损害用户及整个网络生态的漏洞公开行为,都不为我们所接受。未经协调就将未修复漏洞的概念验证代码泄露给不法分子,无论如何都站不住脚,还会引发一系列现实危害。微软全体安全团队始终全力追踪企图利用这类漏洞攻击微软产品及用户的威胁势力。公司数字犯罪部门也会持续对相关人员及协助其开展非法活动的主体提起诉讼,并按需与全球各地执法部门展开协作。
安全专家凯文·博蒙特在DoublePulsar.com上直言:“如果微软打算将不遵守其时常主观随意的‘负责任披露’规则的行为定性为犯罪,那他们在法庭上恐怕很难站稳脚跟。”
从法律层面看,美国宪法的言论自由条款会为“梦魇日蚀”的公开披露提供保护。但根据漏洞的获取方式,他也有可能触犯《计算机欺诈与滥用法》。
微软这份声明激怒了不少安全研究员,因为措辞暗示:今后哪怕只是单纯公开漏洞,相关人员也会被追责。
前微软高级安全分析师凯文·博蒙特在The Verge的报道中,直指微软在这件事上尽显虚伪。
等等,现在制作、传播零日漏洞的概念验证利用程序也成了‘犯罪活动’?微软企业法律事务部到底是谁批准的这种表述?要知道,微软旗下的GitHub才是全球最大的零日漏洞传播平台。不遵守一套人为制定的‘负责任披露’流程,本身并不违法。除此之外,‘梦魇日蚀’的GitHub账号(归属微软)、微软合作平台GitLab账号均被封禁,他还在社交平台遭到人肉搜索,微软漏洞报告中心(MSRC)的账号也被停用。一个人被全面封杀后,又该如何继续‘按规范’上报后续漏洞?
博蒙特还在同一篇文章中提到,微软此前曾聘用过多名有公开记录、向俄罗斯、伊朗等敌对国家出售漏洞的安全研究员。“多年来,微软明知部分在职员工曾公开表示会向俄、伊等国售卖漏洞,却依旧留用。该公司向来有聘用这类人员的先例,其中甚至包括有黑客犯罪前科、以及公开泄露零日漏洞的人。”
微软体量庞大、业务遍布全球,自然难免成为个人黑客乃至国家级黑客势力的目标。但作为全球市值最高的企业之一,迫于华尔街压力,一心追求亮眼的财报,有时难免在安全环节偷工减料。
软件出现漏洞本在所难免,进入人工智能时代后,微软遭受网络攻击的频率还会呈指数级增长。而眼下这般刻意与安全研究员对立的做法,实在算不上明智。
正如博蒙特在DoublePulsar.com文末所言:“倘若微软执意要将不遵从其主观制定的‘负责任披露’规则的行为入罪,这场官司他们很难打赢。因为微软过往一系列决策和背后的诸多事实,都会在庭审中被一一揭开。”
