C’è qualcosa di profondamente frustrante nel vedere un gigante del software che corre ai ripari solo quando la realtà dei fatti bussa alla porta con un debugger in mano.
Secondo l’ultima uscita di Ars Technica, Microsoft ha finalmente rilasciato le patch per due vulnerabilità zero-day che erano state esposte al pubblico. Il protagonista di questa piccola saga è Nightmare Eclipse, un ricercatore che, a differenza di molti dipendenti corporate che vivono in una bolla di ‘everything is fine’, ha deciso di dare l’allarme.
Il succo della questione è che siamo stati testimoni di quella che potremmo defin적으로 definire una ‘rivalità accesa’. Da un lato abbiamo la patch che arriva, dall’altro un ricercatore che non ha smesso di evidenziare il problema finché il codice non è stato corretto. È la classica dinamica da ‘fai il bravo’ che usiamo con i nostri microcontrollori quando saltano i parametri di timing, ma applicata a una scala globale e con conseguenze decisamente meno innocue di un LED che lampeggia a caso.
Per noi che passiamo le serate a smanettare con script Python, compilare kernel custom o cercare di far girare roba vintage su hardware moderno, questa notizia è un promemoria brutale: il software che usiamo come base per tutto il nostro ecosistema è un colabrodo. Non parlo di critiche gratuite (anche se Microsoft ha il suo bel record di ‘sorprese’), ma del fatto che la sicurezza spesso non è un processo proattivo, ma una reazione al panico quando qualcuno scopre un exploit che funziona troppo bene.
Cosa significa in pratica per noi maker e smanettoni? Significa che se state usando macchine Windows per gestire i vostri controller CNC, i vostri server domestici o i vostri setup di rendering con Blender, non potete dare per scontato che il sistema sia un bunker. Aggiornate. Sì, lo so, le update sono una rottura di scatole, interrompono i flussi di lavoro e a volte rompono i driver che avevamo faticosamente configurato, ma preferisco un reboot inaspettato piuttosto che un malware che usa quel zero-day per trasformare il mio PC in un nodo di una botnet che mina crypto per conto di qualche hacker lontano.
In un mondo ideale, la sicurezza dovrebbe essere integrata nel design, non aggiunta come un pezzo di nastro adesca dopo che il circuito è già in corto. Finché continueremo a vedere queste dinamiche di ‘scoperta e patch postuma’, dovremo continuare a mantenere i nostri sistemi isolati, pronti a tutto e, soprattutto, con un occhio sempre aperto sul codice che gira sotto il cofano.
Source: Locked in heated rivalry with researcher, Microsoft fixes 0-day they disclosed