AWAM Discover – Kontroversi mengenai tanggung jawab peneliti keamanan di dunia teknologi kembali mencuat setelah seorang peneliti yang menggunakan nama samaran “Nightmare Eclipse” menerbitkan տեղեկություններ tentang sejumlah kerentanan yang belum diperbaiki di produk Microsoft. Pengungkapan ini disertai dengan kode untuk mengeksploitasi celah-celah tersebut, yang kemudian memicu ancaman hukum dari Microsoft terhadap peneliti tersebut. Perkembangan ini mempertegas perdebatan panjang mengenai tanggung jawab peneliti keamanan independen dalam mengungkapkan kerentanan yang memengaruhi perusahaan-perusahaan teknologi besar dan kaya.

Microsoft Menyatakan Keberatan

Pada hari Rabu, Microsoft menerbitkan sebuah posting blog yang mengecam tindakan Nightmare Eclipse. Dalam blog tersebut, perusahaan menyoroti beberapa kerentanan, seperti yang dinamakan BlueHammer, RedSun, UnDefend, dan YellowKey, yang memengaruhi produk-produk penting seperti mesin antivirus Windows Defender dan alat enkripsi disk BitLocker. Microsoft menyebutkan bahwa peneliti tersebut tidak berupaya untuk melaporkan kerentanan sebelum menerbitkannya, suatu tindakan yang dianggap “bertanggung jawab”.

Dalam pernyataannya, Microsoft menegaskan bahwa dengan merilis detail dan cara mengeksploitasi kerentanan tersebut sebelum adanya perbaikan, Nightmare Eclipse telah memberikan peluang bagi peretas jahat untuk memanfaatkan celah-celah yang ada. Beberapa kerentanan yang diungkapkan kini telah digunakan dalam serangan dunia nyata, sebagaimana diklaim oleh Microsoft dan Badan Keamanan Siber dan Infrastruktur AS (CISA).

Microsoft menegaskan bahwa unit Kejahatan Digital mereka akan terus melawan tindakan kejahatan di dunia siber dan akan bekerja sama dengan penegak hukum di seluruh dunia.

Respons dari Nightmare Eclipse

Dalam serangkaian blog yang diterbitkan dalam beberapa minggu terakhir, Nightmare Eclipse mengklaim telah berupaya menghubungi Microsoft, tetapi merasa diperlakukan tidak adil, termasuk pencabutan akses mereka ke akun Microsoft Security Response Center, portal tempat peneliti dapat melaporkan kerentanan. Peneliti tersebut mengisyaratkan bahwa mereka tidak memiliki pilihan lain selain merilis kerentanan tersebut secara publik, yang pada dasarnya menjadikan kerentanan tersebut sebagai “zero-days”.

Zero-days adalah istilah untuk celah keamanan yang tidak diketahui oleh pengembang perangkat lunak pada saat diungkapkan atau dieksploitasi. Nightmare Eclipse mengunggah kerentanan tersebut di repositori sumber terbuka seperti GitHub dan GitLab, tetapi akun mereka di kedua platform tersebut akhirnya dibekukan.

Saat ini, baik Nightmare Eclipse maupun Microsoft belum memberikan komentar terkait situasi tersebut.

Dampak Terhadap Komunitas Keamanan Siber

Perdebatan ini kembali memunculkan pertanyaan: Apakah peneliti keamanan independen memiliki kewajiban untuk memastikan bahwa kerentanan yang mereka temukan segera diperbaiki? Sebagian besar komunitas keamanan, termasuk para veteran keamanan siber, mengungkapkan ketidakpuasan mereka terhadap cara Microsoft menangani isu ini. Beberapa peneliti menyatakan bahwa kebijakan dan pendekatan Microsoft terhadap pelaporan kerentanan dapat mengurangi kepercayaan dari para peneliti, mengakibatkan efek “chilling” yang mungkin memengaruhi partisipasi komunitas dalam pelaporan potensi kerentanan.

Katie Moussouris, pendiri Luta Security yang merupakan mantan karyawan Microsoft, menyatakan bahwa ancaman hukum yang dilontarkan oleh Microsoft justru akan menambah ketidakpercayaan para peneliti terhadap perusahaan teknologi tersebut. Menurutnya, hilangnya kepercayaan ini dapat berujung pada lebih sedikit peneliti yang bersedia melaporkan kerentanan, sehingga mengancam keamanan bagi semua pengguna.

Sementara itu, peneliti keamanan lainnya, Kevin Beaumont, juga mengkritik posisi Microsoft, menilai bahwa kebijakan mereka sekarang berpotensi dipahami sebagai “aktivitas kriminal”. Beaumont menegaskan bahwa pendekatan yang digunakan Microsoft hanya melindungi kepentingan pemilik produk, bukan pengguna.

Kesimpulan dari Perkembangan Berita Ini

Kejadian ini menyoroti kompleksitas hubungan antara peneliti keamanan dan perusahaan teknologi besar dalam menghadapi kerentanan perangkat lunak. Sementara Microsoft menekankan pentingnya keberlanjutan perbaikan kerentanan, banyak peneliti meragukan tindakan perusahaan jika mereka merasa diancam. Ketika kepercayaan di antara keduanya mulai memudar, pertanyaan mengenai tanggung jawab dan etika dalam pengungkapan kerentanan menjadi semakin mendesak untuk dibahas. Keputusan-keputusan yang diambil di masa depan akan memiliki dampak yang signifikan terhadap keamanan teknologi dan bagaimana celah-celah tersebut ditangani oleh pengembang perangkat lunak di seluruh dunia.