Microsoft is threatening legal action for disclosing exploits

标题和作者

本文标题为《Microsoft is threatening legal action for disclosing exploits》，作者是 The Verge 的 Terrence O'Brien。文档主要讲述了微软公司与其在安全领域的一位名为 "Nightmare Eclipse" 的研究人员之间的纠纷，具体涉及微软威胁对公开披露漏洞的研究人员采取法律行动。背景信息显示，这位研究人员正在公开发布零日漏洞利用代码，而微软则对此做出了强烈的反击措施，包括计划提起刑事案件和禁用相关账户。

摘要

本文报道了微软公司针对一位名为 "Nightmare Eclipse" 的安全研究人员公开披露零日漏洞利用代码的行为，采取了一系列强硬的应对措施。此前，虽然安全界普遍存在漏洞披露的讨论，但微软此次明确计划对研究人员提起刑事案件，这引发了广泛关注。微软认为该研究人员未遵循“适当协调”的披露框架。微软具体做法包括禁用了该研究人员的 GitHub、GitLab 和 Microsoft Security Response Center (MSRC) 账户。结果方面，安全研究员 Kevin Beaumont 批评微软的做法，指出微软过去曾雇佣过做过同样事情（公开发布漏洞利用、有犯罪记录）的人，甚至还从经纪人处购买漏洞利用。Kevin Beaumont 认为微软试图将不遵循“负责任披露”框架的行为定为刑事犯罪，在法庭上很难辩护，因为微软内部存在大量的先例和事实。
本文提到的“零日漏洞”是指微软尚未发现或尚未发布补丁的安全漏洞，而“负责任披露”通常指的是安全研究人员在向厂商报告漏洞后，在厂商修复期间不对漏洞进行公开曝光，以保护用户安全。

主要主题和概念

主题一：微软的强硬执法与账户封锁

• What：微软计划对 "Nightmare Eclipse" 提起刑事案件，并禁用其 GitHub、GitLab 和 Microsoft Security Response Center (MSRC) 账户。
• Why：微软认为该研究人员未能遵循“适当协调”的漏洞披露框架，即未按照规定的流程报告漏洞。
• How：通过法律手段威胁，以及直接技术手段封锁其在代码托管平台和安全响应中心的访问权限。
  主题二：微软的双重标准质疑
• What：微软过去曾雇佣过公开发布零日漏洞利用代码的人员，甚至包括有犯罪记录的人，并且曾从经纪人处购买漏洞利用。
• Why：这种双重标准削弱了微软声称的“负责任披露”框架的权威性和公正性。
• How：安全研究员 Kevin Beaumont 通过对比微软的历史雇佣记录和商业行为，揭示了微软在漏洞处理上的虚伪。
  本文提到的术语中，“零日漏洞”指黑客已知但软件厂商未知的漏洞，“刑事案件”指涉及触犯刑法的行为。此外，“概念验证”通常指用于证明漏洞存在或可被利用的代码。

重要引文

• 论点：微软试图将不遵循“负责任披露”框架的行为定为刑事犯罪，在法庭上很难辩护，因为微软内部存在大量的先例和事实。
• 论据：微软计划对 "Nightmare Eclipse" 提起刑事案件，并禁用其 GitHub、GitLab 和 Microsoft Security Response Center (MSRC) 账户。微软过去曾雇佣过公开发布零日漏洞利用代码的人员，有些甚至有犯罪记录，并且微软还从经纪人处购买漏洞利用。
• 论证：研究员指出，一旦账户被禁，未来很难“负责任”地报告漏洞。Kevin Beaumont 总结道，如果微软的策略是试图将不遵循框架的行为定为刑事犯罪，那么在法庭上很难辩护，因为微软内部有大量的先例和事实会浮出水面。
  本文中的“刑事案件”指的是涉及触犯刑法、需要国家司法机关介入处理的案件。而“零日漏洞”是指攻击者已经利用但软件厂商尚未知晓或修复的漏洞。

总结

本文的核心冲突在于微软试图通过法律和封号手段遏制研究人员 "Nightmare Eclipse" 公开披露零日漏洞利用代码，这引发了关于“负责任披露”框架的激烈辩论。最吸引眼球的部分在于微软的“双重标准”指控：虽然微软威胁对研究人员提起刑事案件并封禁其 GitHub、GitLab 和 Microsoft Security Response Center (MSRC) 账户，但 Kevin Beaumont 揭示微软历史上曾雇佣过做过同样事情的人，甚至从经纪人处购买漏洞利用。这种立场的不一致性使得微软在维护自身安全策略时面临巨大的舆论和法律风险。