La compañía ahora amenaza con emprender acciones legales y llamar a la policía después de que investigadores de seguridad publicaran una serie de errores sin parches en productos y códigos de Microsoft para explotarlos. La amenaza velada de Microsoft reaviva un debate de larga data sobre qué responsabilidad deben asumir los investigadores de seguridad si se les exige revelar vulnerabilidades que afectan a los gigantes tecnológicos grandes y ricos.
Microsoft publicó el miércoles una entrada de blog criticando a un investigador que se hace llamar «Nightmare Eclipse» por revelar una serie de errores que incluyen BlueHammer, RedSun, UnDefend y YellowKey. La falla afectó a productos como el motor antivirus integrado de Windows Defender y la herramienta de cifrado de disco BitLocker.
El núcleo de la queja de Microsoft es que los investigadores no intentaron informar los errores para que la empresa pudiera solucionarlos. Eso habría sido lo más «responsable», como dice el blog de Microsoft. El otro lado del argumento de la compañía es que Nightmare Eclipse puede haber ayudado a piratas informáticos maliciosos al publicar detalles del error y cómo explotarlo antes de que fuera parcheado. Algunas de las vulnerabilidades expuestas por Nightmare Eclipse han sido utilizadas desde entonces por piratas informáticos en ataques reales, según Microsoft y la agencia estadounidense de ciberseguridad CISA.
«Nuestra Unidad de Delitos Digitales continuará procesando a estos actores y a aquellos que permitan su actividad criminal, trabajando con las agencias policiales de todo el mundo según sea necesario», escribió Microsoft. (La División de Delitos Digitales de Microsoft tiene la tarea de proteger a la empresa a través de una variedad de estrategias, que incluyen «litigios civiles, contramedidas tecnológicas, referencias penales y asociaciones público-privadas», según su sitio web).
En una serie de blogs publicados en las últimas semanas (sin proporcionar muchos detalles específicos), Nightmare Eclipse afirmó haber estado en contacto con Microsoft, pero la compañía supuestamente los maltrató, incluida la revocación del acceso a sus cuentas del Microsoft Security Response Center, un portal donde los investigadores pueden informar vulnerabilidades al gigante tecnológico. La implicación de Nightmare Eclipse fue que no tenían más remedio que revelar públicamente la vulnerabilidad, lo que esencialmente significaba que en ese momento la vulnerabilidad era de día cero (un término específico para una falla de seguridad que el fabricante del software afectado desconocía en el momento en que se reveló o explotó).
Los investigadores publicaron el error en los repositorios de código abierto GitHub (propiedad de Microsoft) y GitLab. Las cuentas de los investigadores en estas plataformas fueron prohibidas.
Nightmare Eclipse y Microsoft no respondieron a las solicitudes de comentarios.
Un veterano de la ciberseguridad advierte sobre un efecto paralizador
Esta disputa pública recuerda un debate de larga data y todavía algo controvertido. ¿Están los investigadores de seguridad independientes obligados a garantizar que se solucionen las vulnerabilidades que descubren? ¿Y hasta dónde deberían llegar para garantizar que las empresas con vulnerabilidades en sus productos puedan realmente solucionarlas?
Una parte de este debate que está completamente zanjada y ampliamente reconocida es que los investigadores tienen derecho a ser compensados por su trabajo. Puede parecer obvio ahora, pero requirió años de arduo trabajo, parte del cual se capturó durante una campaña lanzada en 2009 llamada «No más errores gratuitos». Casi 20 años después, la mayoría de las empresas, grandes y pequeñas, ofrecen ahora recompensas financieras llamadas «recompensas por errores». Hoy en día, las sumas pueden alcanzar más de seis cifras para los investigadores que revelan errores de forma privada y luego coordinan la publicación de los detalles una vez que el error ha sido solucionado.
En respuesta a esta última controversia sobre Nightmare Eclipse, innumerables investigadores compartieron sus amargas experiencias informando errores a Microsoft. Es seguro decir que muchos en la comunidad de ciberseguridad están abiertamente insatisfechos con la respuesta de Microsoft a este problema. Esto incluye a veteranos de la ciberseguridad como Katie Moussouris, fundadora de Luta Security. Mientras trabajaba en Microsoft a mediados y finales de la década de 2000, fue pionero en el programa de recompensas por errores y convenció a Microsoft para que se alejara del concepto de «divulgación responsable» enmarcando el proceso como «divulgación coordinada».
«Mencionar el término divulgación ‘responsable’ fue el primer ataque a mi libro», dijo Moussoulis a TechCrunch, refiriéndose a la publicación del blog de Microsoft. «Agregar una amenaza de procesamiento al mencionar[la División de Delitos Digitales]es ir demasiado lejos y sólo hará que los investigadores de seguridad desconfíen de Microsoft».
Moussouris advirtió que la pérdida de confianza de los investigadores de seguridad en Microsoft podría tener un efecto paralizador ya que menos personas reportan errores, lo que lo hace «menos seguro para todos nosotros».
Kevin Beaumont, investigador de seguridad y ex empleado de Microsoft, también criticó a Microsoft en una publicación de blog, calificando la posición de la compañía como un «incendio de basura autoinfligido».
«¿La creación y distribución de día cero de una prueba de concepto es ahora un ‘acto criminal’?» Beaumont escribió. «La divulgación responsable con demasiada frecuencia tiene como objetivo proteger a los propietarios de productos en lugar de a los clientes, y su uso para procesar penalmente a las personas está en su punto más bajo».
Si compra a través de enlaces en nuestros artículos, es posible que ganemos una pequeña comisión. Esto no afecta la independencia editorial.
Source link
