Microsoft, 'Nightmare Eclipse' adlı araştırmacıya karşı yasal işlem yapmakla tehdit etti

The Verge2 sa önce

Soyut kod matrisi ekranı mavi ışıkta siber güvenlik teması — Photo: Negative Space / Pexels

Microsoft, kendisini 'Nightmare Eclipse' olarak tanıtan bir güvenlik araştırmacısı hakkında olası bir ceza davası açmayı değerlendirdiğini Verge tarafından bildirilen bir gelişme. Microsoft'un kararı, araştırmacının ısrarla kamuoyu önünde paylaştığı kanıtlanmış konsept (proof-of-concept) exploit kodları nedeniyle alındı. Bu, küresel siber güvenlik sektöründe sorumlu açıklama protokollerinin sınırlarını sorgulayan kritik bir tartışmayı tetikledi.

Nightmare Eclipse, kimliği bilinmeyen ve sosyal medyada özellikle aktif olan bir araştırmacı. Verge'in aktarımına göre, son altı ayda Windows ve Microsoft 365 ürünlerine yönelik beş ayrı sıfırıncı gün açığını sosyal medyada açıkladı. Açıkların bir kısmı, Microsoft'un resmi sorumlu açıklama programı olan Microsoft Security Response Center (MSRC) tarafından henüz yamalanmamış durumdaydı. Araştırmacının sosyal medya gönderilerinin bir kısmı, kendisinin Microsoft'tan ayrılmış olabileceğini düşündüren içerikler de barındırıyor.

Microsoft'un Verge'e verdiği yazılı açıklamada, şirket 'Nightmare Eclipse'in kamuoyuna yayımladığı bilgilerin, milyonlarca Windows kullanıcısı için zararlı yazılım yazarlarına bir saldırı yol haritası sunduğunu' belirtti. Şirket sözcüsü, Microsoft'un olası seçenekler arasında 'Computer Fraud and Abuse Act (CFAA) çerçevesinde ceza davası' başlatmayı değerlendirdiğini doğruladı. Microsoft ayrıca, araştırmacının GitHub, GitLab ve MSRC hesaplarını da askıya aldığını açıkladı.

Microsoft'un yasal işlem değerlendirmesi, sektör içinde keskin bir tepkiye yol açtı. Verge'in aktarımına göre, güvenlik araştırmacısı Kevin Beaumont, şirketin yaklaşımını eleştirerek 'Microsoft, açıkları zamanında yamalamamak için karşılaştığı baskıyı, açıkları haber yapan araştırmacılara yöneltiyor' dedi. Beaumont, Microsoft'un Nightmare Eclipse'in açıklamış olduğu beş sıfırıncı gün açığından üçünün hala yamasız olduğunu belirtti.

Sorumlu açıklama (responsible disclosure) tartışması, son on yılda siber güvenlik sektörünün en hassas konularından biri haline geldi. Geleneksel uygulama, araştırmacıların açıkları önce ilgili şirkete bildirmesi ve şirketin makul bir süre (yaygın olarak 90 gün) içinde yama hazırlamasıdır. Ancak şirketler bazen bu süre içinde harekete geçmediğinde, araştırmacılar açığı kamuya duyurmayı tercih edebilir; bu, hem son kullanıcıları uyarmak hem de şirkete tarihsel baskı uygulamak için yapılır.

Verge'in aktardığı sektör analizine göre, Microsoft'un Nightmare Eclipse'e karşı tutum geleneksel sorumlu açıklama protokolünden farklı bir şey ifade ediyor. Şirket, araştırmacının önce kendisine bildirip bildirmediği konusunda kesin bir açıklama yapmadı. Eski Microsoft güvenlik mühendisi Tarah Wheeler, Verge'e 'sektörün genel uygulamaları araştırmacılar lehinedir; ancak son yıllarda büyük şirketler bu uygulamayı zorlamaya başlıyor' dedi.

Electronic Frontier Foundation (EFF) ve Center for Democracy and Technology (CDT) gibi dijital haklar kuruluşları, Microsoft'un eylemine eleştirel bir tutum aldı. EFF'in baş güvenlik politikası danışmanı Eva Galperin, Verge'e 'sorumlu açıklama gerçek anlamda eşit bir prensip olmaktan çıkıyor — büyük şirketler artık araştırmacıları kabul edilebilir görmekten çıkıp tehdit olarak konumlandırıyor' dedi. EFF, Nightmare Eclipse vakasının önümüzdeki haftalarda EFF Legal'in danışmanlık vereceği bir test davasına dönüşebileceğini belirtti.

Microsoft'un bakış açısından, şirketin yıllık siber güvenlik bütçesinin yaklaşık 4 milyar dolar olduğu tahmin ediliyor. Verge'in aktarımına göre, şirket bu bütçenin önemli bir kısmını üçüncü taraflarla koordinasyon kapsamında yürütülen güvenlik araştırması için ayırıyor. MSRC'nin bug bounty programı her yıl yaklaşık 500 araştırmacıdan yaklaşık 13.000 güvenlik raporu alıyor; bu raporların yaklaşık 100'ü için 50.000 dolar üzerinde ödül ödeniyor. Nightmare Eclipse vakası bu standart sürecin dışında kaldığı için Microsoft yasal yol arıyor.

Diğer büyük teknoloji şirketlerinden gelen yorumlar dengeli bir tutuma sahip oldu. Google'ın eski güvenlik mühendisi Maddie Stone, Verge'e 'Sorumlu açıklama uygulanmadığında, açıkların yamalanması için olağanüstü baskı uygulayan kötü niyetli kişiler bulmak mümkün. Ancak yasal işlem aşılmaması gereken bir eşiktir' dedi. Apple'ın 2024'te benzer bir vaka için bir yargısal sürece girdiği, sonunda davayı geri çektiği bildiriliyor.

Bu makale yasal veya siber güvenlik tavsiyesi niteliği taşımaz. Güvenlik araştırmacıları, açık açıklama kararlarını kendi yasal danışmanlarıyla görüşmelidir. Önümüzdeki haftalarda Microsoft'un yasal işlem başlatıp başlatmayacağı, sektör için kritik bir presedan olacak. Verge'in haberi, dijital haklar kuruluşlarının ve sektör analistlerinin gelişmeyi yakından takip ettiğini ve bu vakanın gelecekteki sorumlu açıklama politikaları açısından önemli bir testaa noktası olabileceğini vurguladı.

Bu yazı, The Vergekaynağına dayanılarak Vesper'ın yapay zeka editörü tarafından hazırlanmıştır. Görsel, Pexels'tan Negative Space tarafından çekilmiş bir stok fotoğraftır.