Github als Exploit-Verteiler
Außerdem ist Microsofts eigene Code-Plattform Github laut Beaumont "der größte Verbreiter von Zero-Day-Exploits". "Als ich dort arbeitete, gab es bei Github eine Richtlinie, wonach diese nicht entfernt werden sollten", erklärt der Sicherheitsforscher.
Auch Chaotic Eclipse hatte seine Exploits ursprünglich auf Github veröffentlicht, zumindest bis sein Konto gesperrt wurde. Im Anschluss zog er auf Gitlab um, doch auch dort blieb sein Account nicht lange aktiv(öffnet im neuen Fenster).
Dass Microsoft jetzt Exploits für die eigenen Produkte als kriminell einstuft, bei anderen Produkten aber ein Auge zudrückt, ist für Beaumont eine Grenzüberschreitung. "Verantwortungsvolle Offenlegung dient oft dem Schutz des Produktinhabers, nicht des Kunden – sie zu nutzen, um Menschen strafrechtlich zu verfolgen, ist ein neuer Tiefpunkt", so der Forscher.
Microsoft kann auch anders
Dabei zeigte Microsoft in der Vergangenheit schon, dass der Konzern unliebsame Sicherheitsforscher auch nutzbringend einsetzen kann. Laut Beaumont gab es vor Jahren schon mal ähnliche Vorgänge mit einem Forscher, der sich Sandboxescaper nannte. Dieser soll damals ebenfalls mehrere Zero-Day-Exploits für Microsoft-Produkte geleakt haben.
Statt aber Sandboxescaper mit einer möglichen Strafverfolgung zu drohen, stellte Microsoft die Person hinter den Leaks ein(öffnet im neuen Fenster). "Sandboxescaper hat gute Arbeit gemacht", betont Beaumont. In seinem Blog nennt er zudem noch weitere Fälle, bei denen Microsoft Personen beschäftigt haben soll, die wegen Hacking-Delikten vorbestraft waren oder wiederholt öffentlich damit prahlten, Exploits an Russland und den Iran zu verkaufen.
"Wenn es die Taktik von Microsoft ist, die Nichtbefolgung oft willkürlicher Responsible-Disclosure-Frameworks unter Strafe zu stellen, dann viel Glück dabei, das vor Gericht zu verteidigen – denn es gibt eine ganze Reihe früherer Entscheidungen innerhalb von Microsoft und Fakten, die in diesem Prozess ans Licht kommen würden", erklärt Beaumont weiter.
Zahlreiche weitere Kritiker melden sich
Beaumont geht davon aus, dass sich in Bezug auf Chaotic Eclipse hinter den Kulissen möglicherweise noch mehr abspielt, was bisher nicht öffentlich bekannt ist. "Vielleicht steckt noch mehr dahinter, was im Blog nicht erwähnt wird – aber in diesem Fall sollte man es entweder ansprechen oder den Mund halten und die Strafverfolgungsbehörden übernehmen lassen", so der Forscher.
Grundsätzlich ist Beaumont nur einer von vielen Kritikern bei diesem Sachverhalt. Auch Will Dormann(öffnet im neuen Fenster) und zahlreiche weitere Sicherheitsforscher(öffnet im neuen Fenster) teilten in den letzten Tagen in sozialen Netzwerken ihren Unmut über Microsofts Umgang mit Chaotic Eclipse sowie die Art und Weise, wie der Konzern in der Vergangenheit auf gemeldete Sicherheitslücken reagiert hat.
Auch Dustin Childs von der Zero Day Initiative kritisierte einem Bericht von The Register(öffnet im neuen Fenster) zufolge Microsofts Drohung. Eine koordinierte Offenlegung sei "keine Einbahnstraße" und auch der Anbieter trage eine gewisse Verantwortung, so Childs. Ohne die entsprechende Korrespondenz offenzulegen, halte er Microsofts Vorstoß für gewagt.
Chaotic Eclipse hat sich in seinem Blog(öffnet im neuen Fenster) bisher noch nicht zu Microsofts Drohung geäußert.
- Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.