白帽黑?客公开 Wi{ndow}s 零日漏洞,微软强硬回应引争议
IT之家 5 月 31 日消息,Windows 是全球使用范围最广的操作系统,它和微软旗下云服务 Azure 频频成为黑客攻击与漏洞利用的目标。
据IT之家了解,为应对网络攻击,微软长期和各类安全研究员(也就是常说的白帽黑客)展开合作。这些研究员会检测微软系统的安全防护体系,并上报发现的问题。为此微软设立了漏洞赏金计划,本意是让秉持道德准则的黑客上报漏洞、换取高额奖金。
据 WindowsCentral 从 Xbox 和 Windows 相关消息源了解到的情况,实际拿到奖金远比微软官方文档描述的要困难。其认识的好几位研究员,此前都没能获得合理报酬。
近期,安全研究员“梦魇日蚀(Nightmare Eclipse)”接连公开曝光了 Windows 及微软其他系统的六个高危安全漏洞。按照行业惯例,这类漏洞本应直接提交给微软,由官方推送补丁修复。但根据他此前发布的博客内容,此番公开披露大概率是出于报复。
“往常我都会按流程一遍遍催促他们修复漏洞,”“梦魇日蚀”在接受《PCMag》时写道,“简单来说,微软方面曾亲口扬言要毁掉我的生活,而他们也确实这么做了。我不知道是不是只有我经历了这般糟糕的遭遇,还是还有其他人。我想大多数人都会选择忍气吞声、自认倒霉,但他们夺走了我的一切。他们百般刁难,使出各种幼稚的手段针对我。那段日子实在难熬,我甚至分不清自己面对的究竟是一家大型企业,还是一群以折磨他人为乐的人。但显然,这是微软内部集体做出的决定。”
微软与美国军方存在合作,按理说应当高度重视网络安全,但显然做得还远远不够。过去几年,Azure 接连曝出多起影响恶劣的黑客入侵事件,也让微软首席执行官萨提亚・纳德拉颜面尽失。维系与善意白帽黑客的良好合作关系,本应是保护微软用户安全的核心举措。
几乎每周都有新消息称,依托人工智能的黑客攻击,正在从多方颠覆全球网络安全格局。如今微软对黑客以及公开漏洞的人员,态度愈发强硬。针对“梦魇日蚀”的爆料,微软也正式作出了回应:
凯文・博蒙特在资讯网站 DoublePulsar.com 上直言:“如果微软打算将不遵守其时常主观随意的‘负责任披露’规则的行为定性为犯罪,那他们在法庭上恐怕很难站稳脚跟。”
从法律层面来看,美国宪法的言论自由条款会为“梦魇日蚀”的公开披露行为提供保护。但根据漏洞的获取方式,他也有可能违反《计算机欺诈与滥用法》。
微软这份声明也激怒了众多安全研究员,因为其措辞暗示,今后哪怕只是单纯公开漏洞,相关人员也会遭到追责。
前微软高级安全分析师凯文・博蒙特在《The Verge》的报道中,直指微软在这件事上尽显虚伪。
博蒙特还在同一篇文章中提到,微软此前曾聘用过多名有公开记录、向俄罗斯、伊朗等敌对国家出售漏洞的安全研究员。“多年来,微软明知部分在职员工曾公开表示会向俄、伊等国售卖漏洞,却依旧留用。该公司向来有聘用这类人员的先例,其中甚至包括有黑客犯罪前科、以及公开泄露零日漏洞的人。”
微软体量庞大、业务遍布全球,自然难免成为个人黑客乃至国家级黑客势力的攻击目标。同时作为全球市值最高的企业之一,微软迫于华尔街压力,一心追求亮眼的财报,有时便会在安全环节偷工减料。
软件出现漏洞本在所难免,但步入人工智能时代后,微软遭受网络攻击的频率还会呈指数级增长。而当下微软这般刻意与安全研究员对立的做法,实在算不上明智。
正如博蒙特在 DoublePulsar.com 文末所言:“倘若微软执意要将不遵从其主观制定的‘负责任披露’规则的行为入罪,这场官司他们很难打赢。因为微软过往一系列决策和背后的诸多事实,都会在庭审中被一一揭开。”