Dopo che un ricercatore di sicurezza ha pubblicato una serie di bug senza patch nei prodotti Microsoft, insieme al codice per sfruttarli, la società ora minaccia di intraprendere azioni legali e chiamare la polizia. La velata minaccia di Microsoft riaccende una discussione di lunga knowledge su quale responsabilità, se esiste, hanno i ricercatori di sicurezza nel rivelare le vulnerabilità che colpiscono i grandi e ricchi giganti della tecnologia.
Mercoledì Microsoft ha pubblicato un post sul blog criticando il ricercatore, conosciuto sotto lo pseudonimo di “Nightmare Eclipse”, per aver rivelato pubblicamente una serie di bug, tra cui BlueHammer, Sole Rosso IndifenditiE Chiave Gialla. I difetti interessavano prodotti come il motore antivirus integrato di Home windows Defender e lo strumento di crittografia del disco BitLocker.
Il nocciolo delle lamentele di Microsoft è che il ricercatore non ha tentato di segnalare i bug in modo che l’azienda potesse risolverli. Sarebbe stato “responsabile”, come ha affermato il weblog di Microsoft. L’altro lato della tesi dell’azienda è che pubblicando i dettagli dei bug e come sfruttarli prima che venissero corretti, Nightmare Eclipse potrebbe aver aiutato gli hacker malintenzionati. Secondo Microsoft e l’agenzia statunitense per la sicurezza informatica CISA, alcune delle vulnerabilità divulgate da Nightmare Eclipse sono state utilizzate dagli hacker in attacchi nel mondo reale.
“La nostra unità per i crimini digitali continuerà a portare avanti casi contro questi attori e coloro che consentono la loro attività criminale, coordinandosi, se necessario, con le forze dell’ordine di tutto il mondo”, ha scritto Microsoft. (L’Unità Crimini Digitali di Microsoft ha la missione di proteggere l’azienda attraverso various strategie, tra cui “azioni legali civili, contromisure tecniche, deferimenti penali e partenariati pubblico-privato” secondo il suo sito web).
Nell’a serie di blog pubblicato nelle ultime due settimane – senza fornire molti dettagli specifici – Nightmare Eclipse ha affermato di essere stato in contatto con Microsoft, ma la società li avrebbe maltrattati, inclusa la revoca dell’accesso al loro account Microsoft Safety Response Heart, il portale dove i ricercatori possono segnalare vulnerabilità al colosso della tecnologia. L’implicazione di Nightmare Eclipse period che non avevano altra scelta se non quella di rendere pubbliche le vulnerabilità, il che significava essenzialmente che a quel punto erano zero-day, un termine specifico per i difetti di sicurezza che sono sconosciuti al produttore di software program interessato nel momento in cui vengono divulgati o sfruttati.
I ricercatori hanno pubblicato i bug su repository open supply GitHub (di proprietà di Microsoft) e GitLab. Gli account dei ricercatori su quelle piattaforme sono stati banditi.
Nightmare Eclipse e Microsoft non hanno risposto a una richiesta di commento.
I veterani della sicurezza informatica avvertono degli effetti agghiaccianti
Questo battibecco pubblico riporta alla luce un dibattito di lunga knowledge e ancora alquanto controverso: i ricercatori indipendenti sulla sicurezza hanno il dovere di assicurarsi che le vulnerabilità che trovano vengano risolte? E fino a che punto dovrebbero spingersi per assicurarsi che le aziende i cui prodotti sono vulnerabili risolvano effettivamente i problemi?
Una parte di questo dibattito, che è stata pienamente risolta e ampiamente riconosciuta, è che i ricercatori meritano di essere pagati per il loro lavoro. Sebbene possa sembrare ovvio di questi tempi, ci sono voluti anni di lotta, catturati in parte durante una campagna lanciata nel 2009 chiamata “Niente più bug gratuiti.” Quasi 20 anni dopo, la maggior parte delle aziende piccole e grandi pagano ricompense finanziarie “bug bounty”, che oggi possono arrivare fino a sei cifre o più ai ricercatori che rivelano privatamente i bug e coordinano la pubblicazione dei loro dettagli una volta che i bug sono stati risolti.
In risposta a quest’ultima controversia con Nightmare Eclipse, innumerevoli ricercatori hanno condiviso le loro brutte esperienze segnalando bug a Microsoft. È giusto dire che gran parte della comunità della sicurezza informatica è apertamente scontenta di come Microsoft sta gestendo questo problema. Ciò embrace veterani della sicurezza informatica, come la fondatrice di Luta Safety Katie Moussouris, che mentre lavorava presso Microsoft tra la metà e la wonderful degli anni 2000 ha aperto la strada ai bug bounties e ha convinto il colosso della tecnologia advert allontanarsi dal concetto di “divulgazione responsabile” inquadrando il processo come “divulgazione coordinata.”
“Invocare il termine divulgazione ‘responsabile’ è stato il primo colpo nel mio libro”, ha detto Moussouris a TechCrunch, riferendosi al submit sul weblog di Microsoft. “Aggiungendo una minaccia di azione penale menzionando [Digital Crimes Unit] period esagerato e porterà solo i ricercatori di sicurezza a diffidare di Microsoft.”
Moussouris ha avvertito che le conseguenze della perdita di fiducia da parte dei ricercatori di sicurezza nei confronti di Microsoft potrebbero comportare l’effetto dissuasivo di un minor numero di persone che si faranno avanti per segnalare bug, “rendendo il tutto meno sicuro per tutti noi”.
Ricercatore di sicurezza ed ex dipendente di Microsoft Kevin Bueaumont ha anche chiamato Microsoft in un post sul blogdescrivendo la posizione dell’azienda come un “incendio di cassonetti provocato da lei stessa”.
“…La creazione e la distribuzione di exploit Proof of Idea per zero giorni è ora ‘attività criminale’?” ha scritto Beaumont. “La divulgazione responsabile molto spesso è concepita per proteggere il proprietario del prodotto, non il cliente: utilizzarla per cercare di perseguire penalmente le persone è un nuovo minimo.”
Quando acquisti tramite i hyperlink presenti nei nostri articoli, potremmo guadagnare una piccola commissione. Ciò non pregiudica la nostra indipendenza editoriale.
