Microsoft hạ giọng và tìm cách hòa giải sau tranh cãi gay gắt với nhà nghiên cứu lỗ hổng 0-day
Trước làn sóng chỉ trích từ cộng đồng bảo mật, Microsoft đã rút lại các tuyên bố cứng rắn và khẳng định họ không có ý định kiện tụng các nhà nghiên cứu bảo mật, bất chấp việc công khai mã khai thác lỗ hổng.
Microsoft đang cố gắng xoa dịu làn sóng phản đối ngày càng lớn từ cộng đồng bảo mật sau khi dường như đe dọa sẽ hành động pháp lý đối với một nhà nghiên cứu đã tung hàng loạt lỗ hổng 0-day của Windows lên internet trong vài tuần qua.
Trong một tuyên bố được đưa ra vào thứ Hai, đại diện Microsoft cho biết họ "không có ý định truy cứu các cá nhân đang thực hiện hoặc công bố nghiên cứu bảo mật". Đây là một lập trường mềm mỏng hơn đáng kể so với quan điểm mà công ty đưa ra chỉ vài ngày trước đó, khi họ lên án việc công bố lỗ hổng và nhắc đến Đơn vị Tội phạm Kỹ thuật số (Digital Crimes Unit) của mình.
Tuyên bố cập nhật này được đưa ra sau cuộc tranh cãi công khai với một nhà nghiên cứu có biệt danh Nightmare-Eclipse, người đã phát hành nhiều lỗ hổng 0-day của Windows kèm theo mã khai thác khái niệm (proof-of-concept). Một số lỗ hổng trong số đó đã bị kẻ tấn công khai thác trong thực tế, biến cuộc tranh luận về việc công bố lỗ hổng vốn ít người biết đến này thành một cuộc tranh luận lớn hơn về cách các nhà cung cấp xử lý các nhà nghiên cứu bảo mật.
Phản ứng dữ dội từ cộng đồng
Tuần trước, Microsoft mô tả việc công bố mã khai thác cho các lỗi chưa được vá là "không bao giờ có thể biện minh được" và cảnh báo họ sẽ làm việc với cơ quan thực thi pháp luật khi hoạt động tội phạm gây hại cho khách hàng. Tuyên bố này đã vấp phải sự chỉ trích ngay lập tức từ một bộ phận cộng đồng bảo mật, với các cảnh báo rằng ngôn ngữ này có nguy cơ tạo ra "hiệu ứng làm lạnh" đối với nghiên cứu lỗ hổng.
Cựu nhân viên Microsoft và nhà nghiên cứu bảo mật Kevin Beaumont mô tả quan điểm của công ty là "một đống lộn xộn do chính họ tạo ra", trong khi Katie Moussouris, người sáng lập Luta Security và là người đã tạo ra chương trình tiền thưởng lỗi (bug bounty) của Microsoft, cho biết phản hồi này đã gửi đi những thông điệp hỗn hợp.
Bà đặt câu hỏi về quyết định của Microsoft khi khoe khoang về việc bồi thường và ghi nhận các nhà nghiên cứu, trong khi phản hồi lại một nhà nghiên cứu tuyên bố không nhận được bất kỳ điều nào trong số đó. Bà cũng lập luận rằng việc nhắc đến Đơn vị Tội phạm Kỹ thuật số khiến bài đăng cảm thấy "đe dọa một cách mơ hồ".
"Bà thêm rằng, bất kể chi tiết cụ thể của cuộc tranh luận là gì, Microsoft đang có nguy cơ tạo ra hiệu ứng làm lạnh đối với các nhà nghiên cứu khác đang cân nhắc việc báo cáo lỗ hổng."
Nguy cơ leo thang
Hơn nữa, nếu mục tiêu của Microsoft là cô lập Nightmare-Eclipse, thì kế hoạch đó có thể không diễn ra như ý muốn. Nhà nghiên cứu này tuyên bố vào cuối tuần qua rằng các nhà nghiên cứu khác đã bắt đầu chuyển giao lỗ hổng sau phản hồi của Microsoft, bao gồm một lỗi được cho là mang tên "Bitskrieg" phá vỡ các đảm bảo tin cậy của Secure Boot và vượt qua BitLocker. Nightmare-Eclipse cho biết lỗi này sẽ được phát hành "vào sometime vào tháng 6".
Trong bối cảnh đó, thông điệp thứ Hai của Microsoft đọc giống như một nỗ lực kiểm soát thiệt hại hơn là sự răn đe.
"Chúng tôi không có ý định truy cứu các cá nhân đang thực hiện hoặc công bố nghiên cứu bảo mật của họ," Microsoft nói, thêm rằng các chuyển giao pháp lý sẽ được dành riêng cho những người tham gia vào các hoạt động độc hại gây hại cho khách hàng. Công ty cũng thừa nhận rằng "một số tương tác đã không đạt yêu cầu" và cho biết họ đang nỗ lực học hỏi từ phản hồi.
Không có sự nhượng bộ hoàn toàn
Đáng chú ý, Microsoft đã dừng lại rất xa trước khi thừa nhận bất kỳ cáo buộc cụ thể nào của Nightmare-Eclipse. Nhà nghiên cứu này đã cáo buộc Microsoft xóa các tài khoản được sử dụng để báo cáo lỗ hổng, từ chối trả tiền thưởng và xử lý sai sót truyền thông qua Trung tâm Phản hồi Bảo mật Microsoft (MSRC). Công ty chưa trực tiếp giải quyết các tuyên bố này công khai.
Không ai nên nhầm lẫn tuyên bố thứ Hai này với một sự chuyển đổi đột ngột sang quan điểm công bố đầy đủ. Microsoft vẫn giữ vững quan điểm rằng các nhà nghiên cứu nên báo cáo lỗ hổng một cách riêng tư, dành thời gian cho nhà cung cấp để khắc phục, và tránh thả mã khai thác đang hoạt động lên internet để người khác chơi đùa.
Vấn đề đối với Microsoft là cuộc tranh luận đã đi xa hơn nhiều so với hành động của một nhà nghiên cứu. Điều bắt đầu như một tranh chấp về một chuỗi bản phát hành 0-day của Windows đang nhanh chóng biến thành một cuộc tranh luận về mối quan hệ của Microsoft với cộng đồng bảo mật và liệu công ty có thoải mái khi gọi luật sư can thiệp khi mối quan hệ đó trở nên tồi tệ hay không.
Tuyên bố cập nhật trông rất giống như một nỗ lực để phanh gãy câu chuyện đó.
