Σε μια προσπάθεια να μειωθεί η χρήση διαφόρων τρομακτικών ονομάτων στα security bugs, η ομάδα του CERT/CC λάνσαρε ένα Twitter bot που θα εκχωρεί τυχαία και ουδέτερα ονόματα σε κάθε σφάλμα ασφαλείας που θα λαμβάνει ένα αναγνωριστικό CVE.
Με το όνομα Vulnonym, το bot λειτουργεί από το Κέντρο Συντονισμού CERT (CERT / CC) του Πανεπιστημίου Carnegie Mellon, την πρώτη ομάδα CERT που δημιουργήθηκε – τώρα συνεργάζεται με την επίσημη ομάδα US-CERT του DHS.
Η ιδέα για αυτό το bot ήρθε μετά από τις φαινομενικά ατελείωτες συζητήσεις σχετικά με το “εάν τα bugs πρέπει να έχουν ονόματα;”
Το πρόβλημα με τα ονόματα των ευπαθειών
Για δεκαετίες, σε όλες τις ευπάθειες ασφαλείας ανατίθεται ένα αναγνωριστικό CVE από την MITER Corporation. Αυτό το αναγνωριστικό συνήθως έχει τη μορφή CVE- [YEAR] – [NUMBER], όπως CVE-2019-0708.
Αυτά τα αναγνωριστικά CVE χρησιμοποιούνται συνήθως από security software για τον εντοπισμό σφαλμάτων, τον εντοπισμό και την παρακολούθηση σφαλμάτων για σκοπούς στατιστικής ή αναφοράς και τα αναγνωριστικά CVE σπάνια χρησιμοποιούνται από τους χρήστες με οποιοδήποτε ουσιαστικό τρόπο.
Με τα χρόνια, ορισμένες εταιρείες ασφάλειας και ερευνητές ασφαλείας συνειδητοποίησαν ότι η δουλειά τους στον εντοπισμό σημαντικών σφαλμάτων θα μπορούσε εύκολα να χαθεί σε μια συνεχή ροή αριθμών CVE που σχεδόν όλοι δυσκολεύονται να θυμηθούν.
Οι εταιρείες και οι ερευνητές συνειδητοποίησαν ότι τα σφάλματα που ανακάλυψαν είχαν περισσότερες πιθανότητες να ξεχωρίσουν αν το σφάλμα είχε ένα cool όνομα.
Έτσι έγινε η πρακτική της ονομασίας σφαλμάτων, με τα πιο γνωστά παραδείγματα να είναι τα Specter, Meltdown, Dirty Cow, Zerologon, Heartbleed, BlueKeep, BLESA, SIGRed, BLURTooth, DejaBlue ή Stagefright.
Όμως με την πάροδο του χρόνου, ορισμένα ονόματα ευπαθειών άρχισαν να αποκλίνουν από το να περιγραφούν ένα σφάλμα ασφαλείας και μπήκαν στη σφαίρα του φόβου και της επιδίωξης της προσοχής, στοχεύοντας δηλαδή στο καλό marketing.
Τα πράγματα έφτασαν σε ένα γελοίο επίπεδο πέρυσι, όταν ένα σφάλμα Cisco ονομάστηκε Thrangrycat (χρησιμοποιώντας τρία emoji γάτας).
Τα τελευταία χρόνια, πολλοί ειδικοί ασφαλείας έχουν αρχίσει να αντιδρούν και χλεύαζουν κάθε φορά που αποκαλύπτεται ένα σφάλμα ασφαλείας και το σφάλμα έχει ένα περίεργο όνομα.
Μερικά σοβαρά σφάλματα έχουν υποβαθμιστεί μόνο και μόνο επειδή η ευπάθεια έλαβε ένα όνομα, ενώ τα φαινομενικά ανεκμετάλλευτα σφάλματα έλαβαν υπερβολική προσοχή στα μέσα ενημέρωσης μόνο και μόνο επειδή λανσαρίστηκαν με ονόματα, website, λογότυπο και μερικές φορές ακόμη και με θεματικά τραγούδια.
Ναι οι ευπάθειες πρέπει να έχουν ονόματα
Αλλά σε ένα blog την Παρασκευή, η ομάδα του CERT/CC αποφάσισε να προτείνει μια λύση στα ονόματα των bug. Η λύση τους ήταν το bot Vulnonym, το οποίο θα εκχωρήσει ένα κωδικοποιημένο όνομα δύο λέξεων με τη μορφή επίθετου-ουσιαστικού σε κάθε νέο αναγνωριστικό CVE.
“Δεν υποστηρίζουμε ότι τα τρωτά σημεία δεν πρέπει να έχουν ονόματα, στην πραγματικότητα, ενθαρρύνουμε αυτήν τη διαδικασία!” δήλωσε ο Leigh Metcalf, μέλος της ομάδας του CERT/CC.
Ο Metcalf υποστηρίζει ότι οι άνθρωποι χρειάζονται εγγενώς εύκολους στη μνήμη όρους για να περιγράψουν τα σφάλματα ασφαλείας, επειδή “οι άνθρωποι δεν είναι καλά ρυθμισμένοι για να θυμούνται αριθμούς“, όπως αυτοί που χρησιμοποιούνται για τα αναγνωριστικά CVE.
“Στόχος μας είναι να δημιουργήσουμε ουδέτερα ονόματα που να παρέχουν στους ανθρώπους τη δυνατότητα να θυμούνται ευπάθειες χωρίς να υπονοούν πόσο τρομακτικό (ή όχι τρομακτικό) είναι το συγκεκριμένο θέμα ευπάθειας”, δήλωσε ο Metcalf.
