«Ладно, живите». Microsoft оставит в покое исследователей, публикующих 0day-бреши в Windows
NewsMakerПопытка припугнуть «неудобных» специалистов обернулась для компании болезненным ударом по репутации.
Конфликт между Microsoft и независимыми специалистами по безопасности получил неожиданное продолжение. После волны критики компания была вынуждена публично уточнить свою позицию и заверить сообщество, что не собирается преследовать авторов исследований уязвимостей, даже если результаты работы публикуются открыто.
Поводом для споров стала недавняя публикация Microsoft , посвящённая серии раскрытых уязвимостей нулевого дня в Windows. Тогда корпорация заявила, что подобные публикации без согласования недопустимы, а подразделение Digital Crimes Unit продолжит добиваться привлечения к ответственности лиц, которые помогают преступникам. Хотя в тексте прямо не упоминался исследователь под псевдонимом Nightmare Eclipse , многие восприняли формулировки как завуалированную угрозу именно в его адрес.
Сообщество отреагировало резко. Многие специалисты поддержали претензии Nightmare Eclipse к Microsoft. По словам автора публикаций, компания удалила учётную запись в Microsoft Security Response Center, не выплатила часть вознаграждений за найденные проблемы и исключила упоминание исследователя как минимум из одного уведомления об уязвимости.
На фоне растущего недовольства Microsoft выпустила новое заявление, но уже не в корпоративном блоге, а через социальные сети. Компания подчеркнула, что внимательно изучила отзывы и не намерена предпринимать юридические действия против людей, которые проводят исследования безопасности или публикуют результаты своей работы.
Одновременно корпорация оговорила, что всё же будет взаимодействовать с правоохранительными органами в случаях, когда речь идёт о нарушении закона и действиях, причинивших реальный ущерб клиентам.
Microsoft также признала, что отдельные контакты с исследователями проходили не лучшим образом. Компания заявила о готовности извлечь уроки из подобных ситуаций и улучшить взаимодействие с сообществом. При этом конкретные обвинения Nightmare Eclipse в заявлении затронуты не были.
Примечательно и другое изменение. В новой публикации Microsoft отказалась от термина «ответственное раскрытие информации», который неоднократно использовался в предыдущем тексте. Вместо него компания вновь применила формулировку «скоординированное раскрытие информации». Именно такой подход Microsoft внедрила ещё в 2010 году, чтобы избежать обвинений в адрес исследователей, которые раскрывают сведения об уязвимостях вне согласованных процедур.
Бывшая сотрудница Microsoft Кэти Муссурис, участвовавшая в переходе на новую терминологию, ранее раскритиковала возвращение старого выражения. По её мнению, производители программного обеспечения обычно используют подобные формулировки, когда хотят представить действия исследователя как безответственные.
Тем временем сам Nightmare Eclipse сообщил в своём блоге , что после недавних событий к нему начали обращаться другие специалисты и передавать сведения о новых проблемах безопасности. Исследователь анонсировал скорую публикацию по ещё одной уязвимости Secure Boot. По его утверждению, обнаруженный недостаток позволяет полностью обходить защиту BitLocker и потенциально может использоваться для компрометации конфиденциальных виртуальных машин.
Конфликт между Microsoft и независимыми специалистами по безопасности получил неожиданное продолжение. После волны критики компания была вынуждена публично уточнить свою позицию и заверить сообщество, что не собирается преследовать авторов исследований уязвимостей, даже если результаты работы публикуются открыто.
Поводом для споров стала недавняя публикация Microsoft , посвящённая серии раскрытых уязвимостей нулевого дня в Windows. Тогда корпорация заявила, что подобные публикации без согласования недопустимы, а подразделение Digital Crimes Unit продолжит добиваться привлечения к ответственности лиц, которые помогают преступникам. Хотя в тексте прямо не упоминался исследователь под псевдонимом Nightmare Eclipse , многие восприняли формулировки как завуалированную угрозу именно в его адрес.
Сообщество отреагировало резко. Многие специалисты поддержали претензии Nightmare Eclipse к Microsoft. По словам автора публикаций, компания удалила учётную запись в Microsoft Security Response Center, не выплатила часть вознаграждений за найденные проблемы и исключила упоминание исследователя как минимум из одного уведомления об уязвимости.
На фоне растущего недовольства Microsoft выпустила новое заявление, но уже не в корпоративном блоге, а через социальные сети. Компания подчеркнула, что внимательно изучила отзывы и не намерена предпринимать юридические действия против людей, которые проводят исследования безопасности или публикуют результаты своей работы.
Одновременно корпорация оговорила, что всё же будет взаимодействовать с правоохранительными органами в случаях, когда речь идёт о нарушении закона и действиях, причинивших реальный ущерб клиентам.
Microsoft также признала, что отдельные контакты с исследователями проходили не лучшим образом. Компания заявила о готовности извлечь уроки из подобных ситуаций и улучшить взаимодействие с сообществом. При этом конкретные обвинения Nightmare Eclipse в заявлении затронуты не были.
Примечательно и другое изменение. В новой публикации Microsoft отказалась от термина «ответственное раскрытие информации», который неоднократно использовался в предыдущем тексте. Вместо него компания вновь применила формулировку «скоординированное раскрытие информации». Именно такой подход Microsoft внедрила ещё в 2010 году, чтобы избежать обвинений в адрес исследователей, которые раскрывают сведения об уязвимостях вне согласованных процедур.
Бывшая сотрудница Microsoft Кэти Муссурис, участвовавшая в переходе на новую терминологию, ранее раскритиковала возвращение старого выражения. По её мнению, производители программного обеспечения обычно используют подобные формулировки, когда хотят представить действия исследователя как безответственные.
Тем временем сам Nightmare Eclipse сообщил в своём блоге , что после недавних событий к нему начали обращаться другие специалисты и передавать сведения о новых проблемах безопасности. Исследователь анонсировал скорую публикацию по ещё одной уязвимости Secure Boot. По его утверждению, обнаруженный недостаток позволяет полностью обходить защиту BitLocker и потенциально может использоваться для компрометации конфиденциальных виртуальных машин.