ایک سیکیورٹی محقق کی جانب سے مائیکروسافٹ پروڈکٹس میں ان پیچیدگیوں کا ایک سلسلہ شائع کرنے کے بعد، ان کے استحصال کے لیے کوڈ کے ساتھ، کمپنی اب دھمکی دے رہی ہے کہ وہ قانونی کارروائی کرے گی اور ان پر پولیس کو کال کرے گی۔ مائیکروسافٹ کا پردہ دار خطرہ اس بات پر ایک طویل عرصے سے جاری دلیل کو دوبارہ زندہ کرتا ہے کہ کون سی ذمہ داری ہے، اگر کوئی ہے تو، سیکورٹی محققین کو بڑے اور امیر ٹیک جنات کو متاثر کرنے والی کمزوریوں کا انکشاف کرنا ہے۔
بُدھ کے روز، مائیکروسافٹ نے ایک بلاگ پوسٹ شائع کی جس میں محقق پر تنقید کی گئی، جو "نائٹ میئر ایکلیپس" کے ہینڈل کے ذریعے بلیو ہیمر، ریڈ سن ان ڈیفنڈ، اور ییلوکی سمیت کیڑوں کی ایک سیریز کو عوامی طور پر ظاہر کرنے کے لیے جاتا ہے۔ خامیوں نے مصنوعات کو متاثر کیا جیسے کہ ونڈوز بلٹ ان اینٹی وائرس انجن ڈیفنڈر، اور ڈسک انکرپشن ٹول بٹ لاکر۔
مائیکروسافٹ کی شکایات کی بنیادی بات یہ ہے کہ محقق نے کیڑے کی اطلاع دینے کی کوشش نہیں کی تاکہ کمپنی انہیں ٹھیک کر سکے۔ یہ "ذمہ دار" ہوتا، جیسا کہ مائیکروسافٹ کے بلاگ نے کہا۔ کمپنی کے استدلال کا دوسرا رخ یہ ہے کہ کیڑے کی تفصیلات شائع کرکے اور ان کو پیچ کرنے سے پہلے ان کا استحصال کیسے کیا جائے، Nightmare Eclipse نے بدنیتی پر مبنی ہیکرز کی مدد کی ہو سکتی ہے۔ مائیکروسافٹ کے ساتھ ساتھ امریکی سائبرسیکیوریٹی ایجنسی CISA کے مطابق، Nightmare Eclipse نے جن خطرات کا انکشاف کیا ہے ان میں سے کچھ کو ہیکرز نے حقیقی دنیا کے حملوں میں استعمال کیا ہے۔
مائیکروسافٹ نے لکھا، "ہمارا ڈیجیٹل کرائمز یونٹ ان اداکاروں اور ان لوگوں کے خلاف مقدمات لاتا رہے گا جو ان کی مجرمانہ سرگرمیوں کو قابل بناتے ہیں - دنیا بھر میں قانون نافذ کرنے والے اداروں کے ساتھ ضرورت کے مطابق ہم آہنگی،" Microsoft نے لکھا۔ (Microsoft کے ڈیجیٹل کرائمز یونٹ کے پاس مختلف حکمت عملیوں کے ذریعے کمپنی کی حفاظت کا مشن ہے، بشمول "سول قانونی کارروائیاں، تکنیکی انسدادی اقدامات، مجرمانہ حوالہ جات، اور پبلک پرائیویٹ پارٹنرشپ،" اس کی ویب سائٹ کے مطابق)۔
پچھلے دو ہفتوں میں شائع ہونے والے بلاگز کی ایک سیریز میں - بہت سی مخصوص تفصیلات فراہم کیے بغیر - Nightmare Eclipse نے مائیکروسافٹ کے ساتھ رابطے میں رہنے کا دعویٰ کیا، لیکن کمپنی نے مبینہ طور پر ان کے ساتھ بدسلوکی کی، بشمول ان کے مائیکروسافٹ سیکیورٹی رسپانس سینٹر اکاؤنٹ تک رسائی منسوخ کرنا، یہ پورٹل جہاں محققین ٹیک دیو کو کمزوریوں کی اطلاع دے سکتے ہیں۔ Nightmare Eclipse کا مطلب یہ تھا کہ ان کے پاس خطرات کو عوامی طور پر جاری کرنے کے سوا کوئی چارہ نہیں تھا، جس کا بنیادی مطلب یہ تھا کہ اس وقت وہ صفر دن تھے، سیکیورٹی کی خامیوں کے لیے ایک مخصوص اصطلاح جو سافٹ ویئر بنانے والے کو اس وقت معلوم نہیں ہوتی جب ان کا انکشاف یا استحصال کیا جاتا ہے۔
محققین نے کیڑے کو اوپن سورس ریپوزٹری GitHub (مائیکروسافٹ کی ملکیت) اور GitLab پر شائع کیا۔ ان پلیٹ فارمز پر محققین کے اکاؤنٹس پر پابندی لگا دی گئی ہے۔
ڈراؤنے خواب گرہن اور مائیکروسافٹ نے تبصرہ کی درخواست کا جواب نہیں دیا۔
یہ عوامی جھگڑا ایک طویل عرصے سے جاری اور اب بھی کسی حد تک متنازعہ بحث کو واپس لاتا ہے: کیا آزاد سیکورٹی محققین کا یہ فرض ہے کہ وہ اس بات کو یقینی بنائیں کہ وہ جو کمزوریاں پاتے ہیں وہ ٹھیک ہو جائیں؟ اور، انہیں یہ یقینی بنانے کے لیے کس حد تک جانا ہے کہ وہ کمپنیاں جن کی مصنوعات کمزور ہیں وہ درحقیقت انہیں ٹھیک کریں؟
اس بحث کا ایک حصہ، جسے مکمل طور پر طے کیا گیا ہے اور وسیع پیمانے پر تسلیم کیا گیا ہے، یہ ہے کہ محققین اپنے کام کے لیے معاوضہ حاصل کرنے کے مستحق ہیں۔ اگرچہ ان دنوں یہ واضح معلوم ہو سکتا ہے، لیکن اس میں برسوں کی جدوجہد لگی، جسے 2009 میں شروع کی گئی مہم کے دوران پکڑا گیا جس کا نام "نو مور فری بگز" تھا۔ تقریباً 20 سال بعد، زیادہ تر چھوٹی اور بڑی کمپنیاں "بگ باؤنٹی" کے مالی انعامات ادا کرتی ہیں، جو آج ان محققین کو چھ اعداد و شمار یا اس سے زیادہ تک پہنچ سکتی ہیں جو نجی طور پر کیڑے کا انکشاف کرتے ہیں اور کیڑے ٹھیک ہونے کے بعد ان کی تفصیلات شائع کرنے میں ہم آہنگی پیدا کرتے ہیں۔
Nightmare Eclipse کے ساتھ اس تازہ ترین تنازعہ کے جواب میں، لاتعداد محققین نے مائیکرو سافٹ کو کیڑے کی اطلاع دینے کے اپنے برے تجربات شیئر کیے ہیں۔ یہ کہنا مناسب ہے کہ سائبرسیکیوریٹی کمیونٹی کا زیادہ تر حصہ اس بات سے ناخوش ہے کہ مائیکروسافٹ اس مسئلے سے کیسے نمٹ رہا ہے۔ اس میں سائبر سیکیورٹی کے سابق فوجی شامل ہیں، جیسے کہ Luta سیکیورٹی کے بانی کیٹی موسورس، جنہوں نے 2000 کی دہائی کے وسط سے آخر تک مائیکروسافٹ میں کام کرتے ہوئے بگ باؤنٹی کا آغاز کیا، اور ٹیکنالوجی کے بڑے ادارے کو اس عمل کو "مربوط انکشاف" کے طور پر تشکیل دے کر "ذمہ دارانہ انکشاف" کے تصور سے ہٹنے پر آمادہ کیا۔
مائیکروسافٹ کی بلاگ پوسٹ کا حوالہ دیتے ہوئے، ماؤسورس نے ٹیک کرنچ کو بتایا کہ "ذمہ دارانہ انکشاف کی اصطلاح کو استعمال کرنا میری کتاب میں پہلی ہڑتال تھی۔ "[ڈیجیٹل کرائمز یونٹ] کا ذکر کرکے قانونی چارہ جوئی کا خطرہ شامل کرنا سرفہرست تھا، اور اس کے نتیجے میں صرف سیکورٹی محققین مائیکروسافٹ پر عدم اعتماد کریں گے۔" ماؤسورس نے خبردار کیا کہ سیکورٹی محققین کے مائیکروسافٹ کے ساتھ اعتماد کھونے کے نتائج کے نتیجے میں کیڑے کی اطلاع دینے کے لیے کم لوگوں کے سامنے آنے کا ایک ٹھنڈا اثر ہو سکتا ہے، جس سے "یہ ہم سب کے لیے کم محفوظ ہو جائے گا۔"
سیکیورٹی محقق اور مائیکروسافٹ کے سابق ملازم کیون بیومونٹ نے بھی مائیکروسافٹ کو ایک بلاگ پوسٹ میں پکارا، جس میں کمپنی کی پوزیشن کو "اپنی خود ساختہ ڈمپسٹر آگ" قرار دیا۔
"... تصور کے استحصال کا ثبوت صفر دنوں کے لیے تخلیق اور تقسیم اب 'مجرمانہ سرگرمی' ہے؟" Beaumont نے لکھا۔ "ذمہ دارانہ انکشاف اکثر پروڈکٹ کے مالک کی حفاظت کے لیے تیار کیا جاتا ہے، نہ کہ گاہک - لوگوں کے خلاف مجرمانہ کارروائی کرنے کی کوشش کرنے کے لیے اس کا استعمال ایک نئی کمی ہے۔"
