CERT / CC considera que as vulnerabilidades são nomeadas por humanos, às vezes para impacto máximo ou para marketing

iot-vulnerability

A Coordenação Central dos CERTs, órgão do Instituto de Engenharia de Software da Universidade Carnegie Mellon, dos EUA, decidiu combater o que é considerado mau uso dos nomes de vulnerabilidades. Para evitar a propagação de nomes como HeartBleed (sangramento de coração), DirtyCow (vaca suja) e outros, o CERT / CC criou um robô no Twitter que atribui nomes neutros para cada registro CVE publicado.

“Nosso objetivo é criar nomes neutros, proporcionando um meio para que as pessoas se lembrem das vulnerabilidades sem sugerir o quanto a vulnerabilidade em questão é assustadora ou não”, explicou a pesquisadora Leigh Metcalf num post do blog ofcial do CERT / CC, publicado na sexta-feira dia 30 de outubro. “Todas essas vulnerabilidades são nomeadas por humanos, às vezes para impacto máximo ou para marketing. Consequentemente, nem toda vulnerabilidade nomeada é uma vulnerabilidade grave, embora alguns pesquisadores queiram que você pense que é grave. Nomes sensacionais costumam ser a ferramenta dos descobridores, para dar mais visibilidade ao seu trabalho. Esta é uma área de preocupação para o CERT / CC, pois tentamos reduzir qualquer medo, incerteza e dúvida para fornecedores, pesquisadores e o público em geral”, explicou.

O robô pode ser visto em ação no handle @vulnonym do Twitter, publicando diariamente as vulnerabilidades registradas, mas atribuindo nomes neutros como Printable Nutria ou Primal Cat.

Leigh argumenta que os nomes de vulnerabilidades estão aparecendo em importantes esferas de influência, como “em 11 de julho de 2018, uma testemunha fez um depoimento no Congresso avaliando os impactos das vulnerabilidades “Meltdown” e “Spectre”. Os números de registro CVE-2017-5753, CVE-2017-5715 e CVE-2017-5754, nunca foram mencionados. Só os nomes sensacionalistas foram mencionados”.

Segundo ela, “não estamos argumentando que as vulnerabilidades não devem ter nomes. Na verdade, estamos incentivando esse processo (…) Nossos nomes neutros são gerados a partir dos IDs CVE para fornecer um bom mapeamento entre nome e número. O CERT / CC decidiu que, se pudermos encontrar uma solução para este problema, podemos ajudar nas discussões sobre vulnerabilidades, bem como mitigar o medo que pode ser espalhado por uma vulnerabilidade com um nome assustador”.

Com agências internacionais

Fonte: CISO Advisor (https://www.cisoadvisor.com.br/cert-cc-combate-marketing-de-maus-nomes-em-vulnerabilidades/)