Windows操作系统和微软Azure云服务,作为全球广泛使用的IT产品,历来是网络攻击者和漏洞利用者的主要目标。
长期以来,微软与各类安全研究人员(俗称白帽黑客)保持合作,共同检测系统漏洞并进行上报。为此,微软设立了漏洞赏金计划,旨在鼓励技术人员通过符合道德规范的途径上报问题,并提供丰厚奖励。
然而,据知情人士透露,实际获得漏洞赏金的难度远超微软官方描述。多位研究员反映,他们此前并未获得应有的合理报酬。
最近,安全研究员“梦魇日蚀”采取了不同寻常的行动,他公开发布了多达六个针对Windows和其他微软系统的高危安全漏洞。按照行业惯例,这类漏洞理应首先秘密提交给受影响的厂商,以便在其发布补丁前不被恶意利用。此次公开行为,据他本人博客内容推测,很可能源于对微软的不满和“报复”。
“梦魇日蚀”在接受《PCMag》采访时表示:“过去我曾屡次催促他们修复漏洞。更让我无法接受的是,微软方面曾明确威胁要毁掉我的生活,并且确实付诸实施。我不知道这是否只是我个人的遭遇,但我怀疑很多人选择沉默。他们夺走了我的一切,用各种幼稚的手段针对我。那段时间我甚至分不清自己面对的是一家巨型企业,还是一群以折磨人为乐的个人。显然,这是微软内部集体做出的决定。”
微软作为与美国军方有合作的重要企业,本应高度重视网络安全,但其表现显然不尽如人意。过去几年,Azure服务曾多次被曝出严重的黑客入侵事件,这使得微软首席执行官萨提亚·纳德拉的声誉受损。与 доброжелательные 白帽黑客建立良好合作关系,是保护微软用户安全的关键措施。
在人工智能技术助推下,网络攻击正加速改变全球安全格局。面对这种趋势,微软对零日漏洞披露者和黑客的态度日趋强硬。针对“梦魇日蚀”的爆料,微软官方近期做出了回应。
微软指出,被公开的六个漏洞,即“赤日”、“无御”、“蓝锤”、“黄钥”、“绿等离子”和“迷你等离子”,皆未遵循规范的“负责任披露”流程。微软认为,这种不负责任的公开行为制造了不必要的安全风险,公司安全团队正夜以继日地评估影响、保护用户并紧急开发安全补丁。
微软声明,他们坚决反对任何偏离正常协作流程、可能威胁用户及整个网络生态的漏洞公开行为。未经协调就将未修复漏洞的概念验证代码泄露给潜在的恶意分子,是站不住脚的,将带来现实危害。微软安全团队会全力追踪利用此类漏洞攻击微软产品和用户的威胁力量。此外,公司的数字犯罪部门将持续对相关人员及其协助者提起诉讼,并根据需要与全球执法部门协同合作。
针对微软的强硬立场,资讯网站DoublePulsar.com的凯文·博蒙特直言:“如果微软打算将不遵守其经常主观且随意的‘负责任披露’规则的行为定性为犯罪,他们恐怕在法庭上难以站稳脚跟。”
从法律角度看,美国宪法的言论自由条款可能对“梦魇日蚀”的公开披露行为提供保护,但根据漏洞获取方式,他也可能触犯《计算机欺诈与滥用法》。
微软的这份声明激怒了许多安全研究员,因为其措辞暗示,未来即使是单纯披露漏洞,相关人员也可能面临法律追责。
前微软高级安全分析师凯文·博蒙特在《The Verge》的报道中,直接指出微软在此事上显露出虚伪。“等等,现在制作、传播零日漏洞的概念验证利用程序也成了‘犯罪活动’吗?微软企业法律事务部到底是谁批准的这种表述?要知道,微软旗下的GitHub才是全球最大的零日漏洞传播平台。不遵守一套人为制定的‘负责任披露’流程,本身并不违法。”
除此之外,“梦魇日蚀”在微软旗下的GitHub、以及微软合作平台GitLab的账号均被封禁,他在社交平台遭遇人肉搜索,微软漏洞报告中心(MSRC)的账号也同样被停用。在被全面封杀之后,他将如何继续“按规范”上报后续漏洞?
博蒙特在同一篇文章中还透露,微软此前曾雇佣多名有公开记录向俄罗斯、伊朗等国出售漏洞的安全研究员。“多年来,微软明知部分在职员工曾公开表示会向俄、伊等国售卖漏洞,却依旧留用。该公司向来有聘用这类人员的先例,其中甚至包括有黑客犯罪前科、以及公开泄露零日漏洞的人。”
微软作为一个拥有庞大体量和全球业务的企业,自然是个人黑客乃至国家级黑客组织的目标。同时,作为全球市值最高的企业之一,微软在华尔街的压力下,可能为追求亮眼财报而牺牲部分安全投入。
软件漏洞不可避免,但进入人工智能时代后,微软遭受网络攻击的频率将呈指数级增长。当前微软刻意与安全研究员对立的做法,实非明智之举。
正如博蒙特在DoublePulsar.com文章末尾所说:“倘若微软执意要将不按照其主观制定的‘负责任披露’规则行事的情况入罪,这场官司他们很难打赢。因为微软过往一系列决策和背后的诸多事实,都会在庭审中被一一揭开。”