Microsoft ha minacciato un ricercatore di sicurezza con un'azione penale. La comunità della cybersecurity è furiosa.

      TL;DRMicrosoft ha minacciato azioni legali contro un ricercatore che ha pubblicato bug non corretti di Defender e BitLocker. I veterani avvertono di un effetto paralizzante.

      Microsoft ha pubblicato un post sul blog mercoledì criticando un ricercatore di sicurezza noto come “Nightmare Eclipse” per aver reso pubbliche una serie di vulnerabilità non corrette in Windows Defender e BitLocker. L'azienda ha quindi invocato la sua Unità Crimini Digitali, che gestisce i rinvii penali e il coordinamento con le forze dell'ordine. La comunità della cybersecurity ha risposto con indignazione.

      I bug, chiamati BlueHammer, RedSun, UnDefend e YellowKey, colpiscono il motore antivirus integrato di Microsoft e lo strumento di crittografia del disco. Il ricercatore ha pubblicato codice di exploit su GitHub (di proprietà di Microsoft) e GitLab senza dare a Microsoft il tempo di correggerli. Alcune delle vulnerabilità sono state successivamente sfruttate da attaccanti in attacchi nel mondo reale, secondo Microsoft e CISA.

      La posizione di Microsoft è che il ricercatore avrebbe dovuto segnalare i bug in modo privato affinché l'azienda potesse correggerli prima della divulgazione pubblica. L'azienda ha definito questa “divulgazione responsabile”. Il suo post sul blog avvertiva che la sua Unità Crimini Digitali “continuerà a portare casi contro questi attori e coloro che abilitano la loro attività criminale.”

      Nightmare Eclipse racconta una storia diversa. In una serie di post sul blog pubblicati nelle ultime due settimane, il ricercatore ha affermato di essere stato in contatto con Microsoft. L'azienda avrebbe revocato l'accesso al proprio account del Microsoft Security Response Center, il portale dove i ricercatori inviano rapporti sulle vulnerabilità.

      L'implicazione del ricercatore era che non avesse altra scelta se non quella di pubblicare le vulnerabilità pubblicamente. Al momento della pubblicazione, i bug erano zero-day: difetti sconosciuti al produttore del software al momento della loro divulgazione o sfruttamento. Gli account GitHub e GitLab del ricercatore sono stati successivamente bannati.

      Né Nightmare Eclipse né Microsoft hanno risposto alla richiesta di commento di TechCrunch.

      I veterani della cybersecurity hanno risposto con forti critiche. Katie Moussouris, fondatrice di Luta Security e persona che ha pionierato il programma di bug bounty di Microsoft a metà degli anni 2000, ha dichiarato che il linguaggio dell'azienda era infiammatorio. “Invocare il termine ‘divulgazione responsabile’ è stata la prima mossa,” ha detto a TechCrunch. “Aggiungere una minaccia di perseguimento menzionando la DCU era eccessivo.”

      Moussouris ha avvertito che le conseguenze potrebbero estendersi oltre questo caso. “Risulterà solo in ricercatori di sicurezza che non si fidano di Microsoft,” ha detto. Meno ricercatori che si fanno avanti per segnalare bug “rende tutto meno sicuro per tutti noi.”

      Kevin Beaumont, un ricercatore di sicurezza e ex dipendente di Microsoft, ha definito la posizione dell'azienda “un incendio di spazzatura creato da essa stessa.” Ha scritto: “La creazione e distribuzione di exploit di prova di concetto per zero-day è ‘attività criminale’ ora? La divulgazione responsabile è spesso inquadrata per proteggere il proprietario del prodotto, non il cliente.”

      Il dibattito sulla divulgazione è vecchio di decenni ma non completamente risolto. Il consenso dell'industria è “divulgazione coordinata”: i ricercatori segnalano bug in privato, le aziende li correggono e i dettagli vengono pubblicati una volta che una patch è disponibile. Moussouris stessa ha convinto Microsoft ad adottare questo linguaggio mentre lavorava lì, sostituendo il termine “divulgazione responsabile,” che i ricercatori vedevano come un inquadramento degli interessi dell'azienda come default morale.

      La decisione di Microsoft di tornare a un linguaggio “responsabile” e minacciare rinvii penali è un passo significativo all'indietro. I programmi di bug bounty esistono perché l'industria ha imparato, attraverso anni di relazioni avversariali, che pagare i ricercatori per divulgare in privato è più economico e sicuro che ignorarli fino a quando non diventano pubblici. La maggior parte delle aziende ora paga ricompense a sei cifre per vulnerabilità critiche.

      Il progetto Glasswing di Anthropic ha trovato 10.000 vulnerabilità critiche in un mese in software open-source, e solo 97 sono state corrette. Il divario tra scoperta e rimedio si sta ampliando in tutta l'industria. Minacciare le persone che trovano i bug non chiude quel divario. Lo amplia.

      Il panorama della sicurezza dell'IA sta creando nuove categorie di vulnerabilità più velocemente di quanto le aziende possano affrontarle. L'exploit Claw Chain di OpenClaw, l'hack ferroviario TETRA di Taiwan e ora i prodotti stessi di Microsoft illustrano tutti la stessa dinamica: la superficie di attacco sta crescendo, i ricercatori che la mappano sono essenziali e alienarli ha conseguenze.

      La domanda pratica è cosa succede quando un ricercatore trova un bug critico, lo segnala attraverso il canale appropriato e l'azienda revoca il proprio account. Se il racconto di Nightmare Eclipse sulla revoca dell'MSRC è accurato, Microsoft ha creato le condizioni per la divulgazione pubblica che ora sta condannando. Se non è accurato, Microsoft non lo ha detto.

      L'effetto paralizzante descritto da Moussouris è già visibile. Innumerevoli ricercatori hanno condiviso le proprie esperienze negative nel segnalare bug a Microsoft in risposta al post sul blog. Un'azienda che dipende da ricercatori esterni per trovare difetti in prodotti utilizzati da oltre un miliardo di persone sta dicendo a quei ricercatori che trovare difetti potrebbe portare a perseguimenti penali. Il messaggio è chiaro. Se sia saggio è un'altra questione del tutto diversa.