浙江
微軟近期因處理零日漏洞的方式遭遇輿論批評。一名自稱“Nightmare Eclipse”的安全研究者公開發布多段漏洞利用的概念驗證代碼,并與微軟發生公開沖突,其部分發言暗示自己可能是微軟前員工。
網絡安全研究員凱文·博蒙特(Kevin Beaumont)注意到的,并不僅是這些漏洞本身,而是微軟的回應方式。微軟在官方表態中稱,計劃以研究者未按“適當協調程序”披露漏洞為由,考慮對 Nightmare Eclipse 采取刑事訴訟,并已陸續封禁其在 GitHub、GitLab 以及微軟安全響應中心的相關賬號。
博蒙特指出,當事人賬號被全面封禁后,幾乎不可能再按微軟所謂“負責任披露”的渠道提交今后的安全漏洞。他還強調,更具諷刺意味的是,微軟內部其實長期雇傭過一些曾公開發表零日漏洞利用代碼的人,其中甚至包括有黑客犯罪前科的人員,同時公司也會從漏洞經紀機構購買利用程序。
在博蒙特看來,微軟現在試圖將“不遵守往往相當任意的‘負責任披露’框架”刑事化,這一做法本身站不住腳。他警告稱,一旦真把此類案件推上法庭,微軟在過往招聘、安全策略與漏洞交易方面的決策都會一并被擺上臺面,形成一輛“裝滿前后矛盾事實的小丑車”,令其在司法審查下難以自圓其說。
從整個事件看,微軟既一方面依賴安全研究社區,也通過購買與雇傭方式利用過類似行為的安全專家,另一方面又以極為強硬甚至帶有震懾意味的刑事指控來回應公開披露的個人。相關爭議正在安全圈內發酵,也重新引發了關于什么才算“負責任披露”、大型科技公司在漏洞披露博弈中的權力邊界等問題的討論。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
