Después de que un investigador de seguridad publicara una serie de errores sin parches en productos de Microsoft, junto con código para explotarlos, la compañía ahora amenaza con emprender acciones legales y llamar a la policía para que se ocupe del asunto. La amenaza velada de Microsoft revivió una discusión de larga data sobre qué responsabilidad, si es que tienen alguna, tienen los investigadores de seguridad para descubrir vulnerabilidades que afectan a los grandes y ricos gigantes tecnológicos.
El miércoles, Microsoft publicar una entrada de blog criticó al investigador, conocido como “Nightmare Eclipse”, por revelar públicamente una serie de errores, entre ellos Martillo azul, sol rojo, Cancelar defensaY Llave amarilla. Esta falla afecta a productos como el motor antivirus integrado de Windows Defender y la herramienta de cifrado de disco BitLocker.
La esencia de la queja de Microsoft es que los investigadores no hicieron ningún esfuerzo por informar del error para que la empresa pudiera solucionarlo. Eso sería “responsable”, como afirma el blog de Microsoft. El otro lado del argumento de la compañía es que al publicar detalles del error y cómo explotarlo antes de que fuera parcheado, Nightmare Eclipse puede haber ayudado a los piratas informáticos malintencionados. Algunas de las vulnerabilidades reveladas por Nightmare Eclipse han sido utilizadas por piratas informáticos en ataques del mundo real, según Microsoft, así como la agencia estadounidense de ciberseguridad CISA.
“Nuestra Unidad de Delitos Digitales continuará presentando casos contra estos actores y aquellos que permiten su actividad criminal, coordinando con las fuerzas del orden en todo el mundo según sea necesario”, escribió Microsoft. (La Unidad de Delitos Digitales de Microsoft tiene la misión de proteger a las empresas a través de una variedad de estrategias, que incluyen “acciones legales civiles, acciones técnicas, referencias penales y asociaciones público-privadas”. según su sitio web).
en un serie de blogs Publicado en las últimas semanas -sin proporcionar muchos detalles específicos- Nightmare Eclipse afirma haber estado en contacto con Microsoft, pero la compañía supuestamente los maltrató, incluso revocando el acceso a su cuenta del Microsoft Security Response Center, un portal a través del cual los investigadores pueden informar vulnerabilidades al gigante tecnológico. La implicación de Nightmare Eclipse es que no tuvieron más remedio que hacer pública la vulnerabilidad, lo que esencialmente significa que en ese momento la vulnerabilidad estaba en un estado de día cero, un término especial para una falla de seguridad que los autores del software afectado desconocían en el momento en que se reveló o explotó la vulnerabilidad.
Los investigadores publicaron el error en un repositorio de código abierto. GitHub (propiedad de Microsoft) y GitLab. Las cuentas de los investigadores en la plataforma han sido bloqueadas.
Nightmare Eclipse y Microsoft no respondieron a las solicitudes de comentarios.
Los veteranos de la ciberseguridad advierten sobre las consecuencias
Esta disputa pública reavivó un debate de larga data y aún controvertido: ¿Tienen los investigadores de seguridad independientes el deber de garantizar que las vulnerabilidades que descubren puedan solucionarse? ¿Y hasta dónde deberían llegar para garantizar que las empresas cuyos productos son vulnerables realmente los solucionen?
Una parte de este debate, que ha sido resuelta y es ampliamente reconocida, es que los investigadores merecen que se les pague por su trabajo. Si bien esto puede parecer obvio ahora, fueron necesarios años de lucha, uno de los cuales se refleja en una campaña lanzada en 2009 llamada “No más errores libres.” Casi 20 años después, la mayoría de las empresas, tanto pequeñas como grandes, pagan recompensas financieras en forma de “recompensas por errores”, que hoy pueden alcanzar seis cifras o más a los investigadores que revelan personalmente los errores y coordinan la publicación de sus detalles una vez solucionados.
Respondiendo a la reciente controversia con Nightmare Eclipse, innumerables investigadores han compartido sus malas experiencias informando errores a Microsoft. Es seguro decir que la mayor parte de la comunidad de ciberseguridad está muy descontenta con la forma en que Microsoft está manejando este problema. Esto incluye a veteranos de la ciberseguridad, como la fundadora de Luta Security, Katie Moussouris, quien mientras trabajaba en Microsoft a mediados y finales de la década de 2000 fue pionera en las recompensas de errores y convenció al gigante tecnológico de alejarse del concepto de “divulgación responsable” al enmarcar el proceso como “divulgación coordinada.”
“Usar el término divulgación ‘responsable’ es un primer paso en mi libro”, dijo Moussouris a TechCrunch, refiriéndose a la publicación del blog de Microsoft. “Agregar la amenaza de un procesamiento mencionando a la (Unidad de Delitos Digitales) es excesivo y sólo hará que los investigadores de seguridad desconfíen de Microsoft”.
Moussouris advirtió que las consecuencias de que los investigadores de seguridad pierdan la confianza en Microsoft podrían tener consecuencias devastadoras, ya que menos personas están dispuestas a informar errores, “haciéndolo menos seguro para todos nosotros”.
Kevin Beaumont, investigador de seguridad y ex empleado de Microsoft también mencionó a Microsoft en una publicación de blogdescribió la situación de la empresa como un “fuego hecho por él mismo”.
“¿La evidencia de la creación y distribución de explotación de conceptos en el día cero es ahora una ‘actividad criminal’?” Beaumont escribió. “La divulgación responsable a menudo está diseñada para proteger a los propietarios de productos, no a los clientes; utilizarla para procesar a personas penalmente es una muy mala decisión”.
Cuando compra a través de enlaces en nuestros artículos, es posible que ganemos una pequeña comisión. Esto no afecta nuestra independencia editorial.
