Avete presente quando state cercando di riparare un vecchio componente elettronico, fate un piccolo corto circuito e invece di rimediare l’azienda vi minaccia di denunciare pure? Ecco, Microsoft ha appena alzato il livello di drama a livelli quasi cinematografamente assurdi.
La notizia che sta facendo bollire il sangue su Hacker News è il ban definitivo dell’account GitHub di Nightmare-Eclipse (conosciuto anche come Chaotic Eclipse). E non è stato un ban per aver caricato troppi meme di r/programmerhumor, ma per aver pubblicato degli zero-day su Windows. La mossa di Microsoft/GitHub è stata quella classica di chi vuole chiudere la bocca a qualcuno usando la forza bruta: hanno rimosso l’account e, pare, hanno pure cancellato l’account Microsoft usato per segnalare i bug. Un vero e proprio ‘delete’ esistenziale.
Secondo Eclipse, tutto nasce da una questione di soldi e comunicazione. Il ricercatore sostiene di non aver ricevuto i bug bounty promessi (parliamo di cifre che vanno dai 30k ai 250k dollari, mica spiccioli per comprarsi un nuovo set di punte per la CNC) e di essere stato ignorato dal team MSRC. La cosa inquietante? Eclipse sostiene che gli abbiano detto testualmente che avrebbero distrutto la sua vita. E, beh, guardando il ban di GitHub, sembra che ci stiano provando seriamente.
Da smanettone, trovo questa dinamica profondamente tossica. Se sei un gigante che controlla l’infrastruttura del mondo, usare GitHub per punire chi trova falle nel tuo software non è solo un atto di arroganza, è un suicidio tecnico. Il codice è già fuori, il danno è fatto e, onestamente, questo tipo di censura non fa altro che spingere i ricercatori verso metodi ancora più estremi e meno controllati. È come cercare di fermare un leak di pressione chiudendo il rubinetto con un pezzo di nastro adesivo mentre l’acqua ti sta già allagando il garage.
Per noi che amiamo smontare tutto, dalla stampante 3D al kernel di Linux, questa è una lezione su quanto sia pericoloso il vendor lock-in. Quando un’azienda ha il potere di cancellare la tua presenza digitale perché non le piacciono le tue scoperte, la libertà del codice diventa un’illusione. Se non puoi condividere le tue scoperte senza rischiare di finire nel dimenticatoio digitale, che senso ha la ricerca stessa?
E ora restiamo in attesa del 14 luglio, la data della ‘vendetta’ annunciata da Eclipse. Se i suoi zero-day sono tutto ciò che dicono le cronache (e parliamo di robe pesanti come bypass di BitLocker e accessi SYSTEM tramite Defender), Microsoft ha davvero le mani impegnate in un incendio che non può spegnere con un semplice ban di un repository. Speriamo solo che la situazione non degeneri in una guerra di script che renda ancora più instabili i sistemi che usiamo ogni giorno per far girare i nostri progetti.
Source: GitHub bans security researcher who posted zero-day Windows exploits