बग सार्वजनिक गरिदिएपछि माइक्रोसफ्ट र साइबर सुरक्षा अनुसन्धानकर्ताबिच लफडा, कारबाहीसम्मको चेतावनी
जेठ १८, २०८३ ११:३
काठमाडौँ । माइक्रोसफ्टले आफ्नो डिजिटल क्राइम्स युनिट मार्फत एक सुरक्षा अनुसन्धानकर्तालाई कानुनी कारबाही गर्ने धम्की दिएपछि साइबर सुरक्षा समुदायमा ठुलो हलचल पैदा भएको छ । नाइटमेर एक्लिप्स तथा कियोटिक एक्लिप्स नामले चिनिने एक अनुसन्धानकर्ताले विन्डोजका ६ वटा प्रमुख सुरक्षा कमजोरीहरू (Zero-day vulnerabilities) सार्वजनिक गरेपछि यो विवाद सुरु भएको हो ।
ती अनुसन्धानकर्ताले माइक्रोसफ्टको विन्डोज डिफेन्डर, बिटलकर र विन्डोज सीटीएफ मुन जस्ता प्रणालीहरूमा रहेका गम्भीर कमजोरीहरू सार्वजनिक गरेका छन् । जसलाई रेडसन, अनडिफेन्ड, ब्लुह्याम्मर, यल्लोकि, ग्रिनप्लाज्मा र मिनिप्लाज्मा नाम दिइएको छ ।
विशेष गरी ब्लुह्याम्मर नामक कमजोरीले आक्रमणकारीलाई एडमिनिस्ट्रेटर स्तरको पहुँच (Privilege Escalation) प्राप्त गर्न अनुमति दिन्छ । सामान्यतया यस्ता कमजोरीहरू गोप्य रूपमा कम्पनीलाई जानकारी गराइन्छ । तर अनुसन्धानकर्ताले यी सबैलाई सार्वजनिक रूपमा 'प्रुफ-अफ-कन्सेप्ट' (PoC) कोडसहित जारी गरिदिएका छन् ।
अनुसन्धानकर्ताका अनुसार माइक्रोसफ्टले उनीसँग अत्यन्तै नराम्रो र 'केटाकेटीलाई जस्तो' व्यवहार गरेको छ । माइक्रोसफ्टले आफ्ना रिपोर्टहरूलाई बेवास्ता गरेको, बिना कुनै स्पष्टीकरण टिकटहरू बन्द गरिदिएको र अन्ततः माइक्रोसफ्ट सुरक्षा प्रतिक्रिया केन्द्र (MSRC) को अकाउन्ट नै हटाइदिएको उनको आरोप छ ।
"उनीहरूले मेरो जीवन बर्बाद गर्ने धम्की दिए र मेरो सबै कुरा खोसे," अनुसन्धानकर्ताले आफ्नो ब्लगमा लेखेका छन् । उनले माइक्रोसफ्टले आफूलाई दुःख दिएको बदलास्वरूप यी कमजोरीहरू सार्वजनिक गरेको सङ्केत गरेका छन् ।
माइक्रोसफ्टको चेतावनी
माइक्रोसफ्टले एक आधिकारिक ब्लग पोस्टमार्फत यी खुलासाहरूको कडा विरोध गरेको छ । कम्पनीले यसलाई Uncoordinated Disclosure भन्दै यसले ग्राहकहरूलाई अनावश्यक जोखिममा पारेको बताएको छ । माइक्रोसफ्टले आफ्नो डिजिटल क्राइम्स युनिटले यस्ता अपराधी र उनीहरूलाई सहयोग गर्नेहरू विरुद्ध मुद्दा चलाउने र विश्वभरका सुरक्षा निकायहरूसँग समन्वय गर्ने चेतावनी समेत दिएको छ ।
ती अनुसन्धानकर्ताले जिम्मेवारीपूर्वक कमजोरीहरू रिपोर्ट नगरेको माइक्रोसफ्टको स्पष्टोक्ति छ । प्रतिक्रियास्वरूप माइक्रोसफ्टको स्वामित्वमा रहेको गिटहब र उसको साझेदार गिटल्याबले ती अनुसन्धानकर्ताका अकाउन्टहरू बन्द गरिदिएको छ ।
साइबर सुरक्षा समुदायबाट आलोचना
साइबर सुरक्षा विशेषज्ञहरूले भने माइक्रोसफ्टको यस प्रकारको कदमको कडा आलोचना गरेका छन् । पूर्व माइक्रोसफ्ट सुरक्षा विश्लेषक केभिन ब्युमोन्टले माइक्रोसफ्टको यो व्यवहारलाई पाखण्डको संज्ञा दिएका छन् । माइक्रोसफ्ट आफैँले विगतमा रुस र इरानलाई सुरक्षा कमजोरीहरू बेच्ने र आपराधिक रेकर्ड भएका मानिसहरूलाई काममा राखेको दृष्टान्त समेत उनले पेस गरेका छन् ।
"माइक्रोसफ्टले कमजोरीहरू सार्वजनिक गर्नेलाई अपराधी भन्नु भन्दा आफ्ना उत्पादनहरू सुरक्षित बनाउनमा ध्यान दिनुपर्छ," ब्युमोन्टले भनेका छन् ।
अन्य कतिपय अनुसन्धानकर्ताहरूले पनि माइक्रोसफ्टको MSRC सँगको आफ्नो नराम्रो अनुभव शेयर गरेका छन् । उनीहरूका अनुसार माइक्रोसफ्टले प्रायः कमजोरीहरूलाई स्वीकार गर्दैन, उचित पारिश्रमिक (Bug Bounty) दिँदैन र कहिलेकाहीँ अनुसन्धानकर्तालाई थाहै नदिई चुपचाप सफ्टवेयर अपडेट जारी गरेर श्रेय पनि दिँदैन ।
हाल यी ६ मध्ये तीनवटा कमजोरीहरू (BlueHammer, RedSun र UnDefend) को ह्याकरहरूले सक्रिय रूपमा दुरुपयोग गरिरहेका छन् । अमेरिकी साइबर सुरक्षा एजेन्सी CISA ले यी कमजोरीहरूलाई आफ्नो Known Exploited Vulnerabilities को सूचीमा समावेश गरिसकेको छ ।
यसैबिच अनुसन्धानकर्ताले आउँदो १४ जुलाईमा अझै ठुलो र विनाशकारी खुलासा गर्ने धम्की दिएका छन् । उनले चेतावनी दिँदै लेखेका छन्, "म त्यो दिन तिम्रा हड्डीहरू चकनाचुर पारिदिनेछु ।" यसले आगामी दिनमा माइक्रोसफ्ट र प्रयोगकर्ताहरूका लागि थप सुरक्षा चुनौतीहरू थपिने सङ्केत गरेको छ ।
यो घटनाले ठूला प्रविधि कम्पनीहरू र स्वतन्त्र सुरक्षा अनुसन्धानकर्ताहरूबिचको सम्बन्ध कति नाजुक छ र Responsible Disclosure को परिभाषामा कति ठुलो खाडल छ भन्ने कुरालाई सतहमा ल्याइदिएको छ ।
पछिल्लो अध्यावधिक: जेठ १८, २०८३ ११:३
