নিরাপত্তা গবেষককে অপরাধমূলক তদন্তের হুমকি দেওয়ার জন্য মাইক্রোসফ্ট আগুনের মুখে | টেকক্রাঞ্চ

একটি সুরক্ষা গবেষক মাইক্রোসফ্ট পণ্যগুলিতে তাদের ব্যবহার করার কোড সহ প্যাচ না করা বাগগুলির একটি সিরিজ প্রকাশ করার পরে, সংস্থাটি এখন আইনি ব্যবস্থা নেওয়ার হুমকি দিচ্ছে এবং পুলিশকে কল করছে৷ মাইক্রোসফ্টের গোপন হুমকি দায়বদ্ধতার উপর একটি দীর্ঘস্থায়ী তর্কের পুনর্জাগরণ করে, যদি থাকে, নিরাপত্তা গবেষকরা বড়, ধনী প্রযুক্তি জায়ান্টদের প্রভাবিত করার দুর্বলতাগুলি প্রকাশ করার জন্য।

বুধবার, মাইক্রোসফ্ট ব্লুহ্যামার, রেডসান, আনডিফেন্ড এবং ইয়েলোকি সহ বেশ কয়েকটি বাগ প্রকাশ্যে প্রকাশ করার জন্য “নাইটমেয়ার ইক্লিপস” নামে গবেষকের সমালোচনা করে একটি ব্লগ পোস্ট প্রকাশ করেছে। ত্রুটিগুলি উইন্ডোজ ডিফেন্ডারের অন্তর্নির্মিত অ্যান্টিভাইরাস ইঞ্জিন এবং বিটলকার ডিস্ক এনক্রিপশন টুলের মতো পণ্যগুলিকে প্রভাবিত করে৷

মাইক্রোসফ্টের অভিযোগের কেন্দ্রবিন্দু হল যে গবেষকরা বাগগুলি রিপোর্ট করার চেষ্টা করেননি যাতে কোম্পানি তাদের ঠিক করতে পারে। মাইক্রোসফ্টের ব্লগ বলে যে এটি “দায়িত্বপূর্ণ” হবে। কোম্পানির যুক্তির অন্য দিকটি হল যে বাগগুলির বিবরণ প্রকাশ করে এবং কীভাবে সেগুলি প্যাচ করার আগে তাদের কাজে লাগাতে হয়, নাইটমেয়ার ইক্লিপস দূষিত হ্যাকারদের সাহায্য করেছিল। নাইটমেয়ার ইক্লিপস দ্বারা প্রকাশিত কিছু দুর্বলতা তখন থেকে হ্যাকাররা বাস্তব-বিশ্বের আক্রমণে ব্যবহার করেছে, মাইক্রোসফ্ট, সেইসাথে মার্কিন সাইবার নিরাপত্তা সংস্থা CISA-এর মতে।

মাইক্রোসফ্ট লিখেছে, “আমাদের ডিজিটাল ক্রাইমস ইউনিট এই অভিনেতাদের বিরুদ্ধে এবং যারা তাদের অপরাধমূলক কার্যকলাপকে সক্ষম করে তাদের বিরুদ্ধে মামলা চালিয়ে যাবে, সারা বিশ্বের আইন প্রয়োগকারী সংস্থার সাথে প্রয়োজনীয় সমন্বয় করে,” মাইক্রোসফ্ট লিখেছেন। (মাইক্রোসফ্টের ডিজিটাল ক্রাইমস ইউনিটের ওয়েবসাইট অনুসারে “সিভিল লিগ্যাল অ্যাকশন, টেকনিক্যাল কাউন্টারমেজার, ফৌজদারি রেফারেল এবং পাবলিক-প্রাইভেট পার্টনারশিপ” সহ বিভিন্ন কৌশলের মাধ্যমে কোম্পানিকে রক্ষা করার দায়িত্ব দেওয়া হয়েছে।)

সাম্প্রতিক সপ্তাহগুলিতে প্রকাশিত ব্লগগুলির একটি সিরিজে – অনেক নির্দিষ্ট বিবরণ প্রদান না করে – নাইটমেয়ার ইক্লিপস মাইক্রোসফ্টের সাথে যোগাযোগ করার দাবি করেছে, তবে সংস্থাটি তাদের মাইক্রোসফ্ট সিকিউরিটি রেসপন্স সেন্টার অ্যাকাউন্টের অ্যাক্সেস প্রত্যাহার সহ, পোর্টাল যেখানে গবেষকরা প্রযুক্তি দৈত্যের দুর্বলতার প্রতিবেদন করতে পারে বলে অভিযোগ করা হয়েছে। Nightmare Eclipse-এর অন্তর্নিহিত অর্থ হল যে তাদের কাছে দুর্বলতাগুলি প্রকাশ্যে প্রকাশ করা ছাড়া আর কোনও বিকল্প ছিল না, যার মূলত অর্থ ছিল যে সময়ে তারা শূন্য-দিন ছিল, নিরাপত্তা ত্রুটিগুলির জন্য একটি নির্দিষ্ট শব্দ যা প্রভাবিত সফ্টওয়্যার নির্মাতার কাছে অজানা ছিল যখন সেগুলি প্রকাশ বা শোষণ করা হয়।

গবেষকরা ওপেন সোর্স গিটহাব (মাইক্রোসফটের মালিকানাধীন) এবং গিটল্যাব রিপোজিটরিতে বাগগুলি প্রকাশ করেছেন। সেই প্ল্যাটফর্মগুলিতে গবেষকদের অ্যাকাউন্ট নিষিদ্ধ করা হয়েছিল।

নাইটমেয়ার ইক্লিপস এবং মাইক্রোসফ্ট মন্তব্যের জন্য একটি অনুরোধের জবাব দেয়নি।

সাইবার নিরাপত্তা প্রবীণরা শীতল প্রভাব সম্পর্কে সতর্ক করেছেন

এই পাবলিক স্প্যাট একটি দীর্ঘস্থায়ী এবং এখনও কিছুটা বিতর্কিত বিতর্ক ফিরিয়ে আনে: স্বাধীন নিরাপত্তা গবেষকদের কি দায়িত্ব আছে যে তারা যে দুর্বলতাগুলি খুঁজে পেয়েছে তা স্থির করা হয়েছে? এবং তাদের কতদূর যেতে হবে তা নিশ্চিত করার জন্য যে সংস্থাগুলির পণ্যগুলি দুর্বল তারা আসলে সেগুলি ঠিক করে?

এই বিতর্কের একটি অংশ, যা সম্পূর্ণরূপে সমাধান করা হয়েছে এবং ব্যাপকভাবে স্বীকৃত, গবেষকরা তাদের কাজের জন্য অর্থ প্রদানের যোগ্য। যদিও এটি আজকাল স্পষ্ট মনে হতে পারে, এটি বছরের পর বছর ধরে সংগ্রাম করেছে, যা 2009 সালে “নো মোর ফ্রি বাগস” নামে একটি প্রচারাভিযানের সময় ধরা পড়েছিল। প্রায় 20 বছর পরে, বেশিরভাগ কোম্পানি, বড় এবং ছোট, “বাগ বাউন্টি” প্রদান করে যা আজকে ছয়টি পরিসংখ্যান বা তার বেশি হতে পারে এমন গবেষকদের যারা ব্যক্তিগতভাবে বাগগুলি প্রকাশ করে এবং বাগগুলি ঠিক হয়ে গেলে তাদের বিবরণ প্রকাশের সমন্বয় করে৷

নাইটমেয়ার ইক্লিপসের সাথে এই সর্বশেষ বিতর্কের প্রতিক্রিয়া হিসাবে, অগণিত গবেষকরা মাইক্রোসফ্টকে বাগ রিপোর্ট করার তাদের খারাপ অভিজ্ঞতাগুলি ভাগ করেছেন। এটা বলা ন্যায্য যে সাইবার সিকিউরিটি সম্প্রদায়ের বেশিরভাগই মাইক্রোসফ্ট কীভাবে এই সমস্যাটি পরিচালনা করছে তাতে কণ্ঠে অসন্তুষ্ট। এর মধ্যে রয়েছে লুটা সিকিউরিটির প্রতিষ্ঠাতা কেটি মুসুরিসের মতো সাইবার নিরাপত্তার অভিজ্ঞ, যারা 2000-এর দশকের মাঝামাঝি থেকে শেষের দিকে মাইক্রোসফ্টে কাজ করার সময় বাগ বাউন্টির পথপ্রদর্শক এবং প্রযুক্তি জায়ান্টকে “দায়িত্বশীল প্রকাশ” ধারণা থেকে সরে যেতে রাজি করেছিলেন প্রক্রিয়াটিকে “সমন্বিত প্রকাশ” হিসাবে ফ্রেম করার জন্য।

মাইক্রোসফটের ব্লগ পোস্টের কথা উল্লেখ করে মুসৌরিস টেকক্রাঞ্চকে বলেন, “দায়িত্বশীল’ প্রকাশ শব্দটি আমার বইয়ের প্রথম স্ট্রাইক ছিল।” “উল্লেখের সাথে মামলার হুমকি যোগ করা [Digital Crimes Unit] এটি শীর্ষে ছিল এবং কেবলমাত্র নিরাপত্তা গবেষকদের মাইক্রোসফ্ট সম্পর্কে সন্দেহ করবে।”

মুসৌরিস সতর্ক করে দিয়েছিলেন যে নিরাপত্তা গবেষকরা মাইক্রোসফ্টের উপর আস্থা হারানোর ফলাফলগুলি বাগ রিপোর্ট করার জন্য কম লোকের এগিয়ে আসার একটি শীতল প্রভাব ফেলতে পারে, “এটি আমাদের সকলের জন্য কম নিরাপদ করে তোলে।”

নিরাপত্তা গবেষক এবং প্রাক্তন মাইক্রোসফ্ট কর্মচারী কেভিন বিউমন্টও একটি ব্লগ পোস্টে মাইক্রোসফ্টকে ডেকেছেন, কোম্পানির অবস্থানকে “স্ব-নির্মিত ডাম্পস্টার ফায়ার” হিসাবে বর্ণনা করেছেন।

“জিরো-ডে এক্সপ্লয়েট ক্রিয়েশন এবং ডিস্ট্রিবিউশন প্রুফ অফ কনসেপ্ট ‘ক্রিমিনাল অ্যাক্টিভিটি’ এখন?” বিউমন্ট লিখেছেন। “দায়িত্বমূলক প্রকাশ প্রায়শই পণ্যের মালিককে রক্ষা করার জন্য তৈরি করা হয়, গ্রাহককে নয়; লোকেদের বিচার করার চেষ্টা করার জন্য এটি ব্যবহার করা একটি নতুন নিম্ন।”