Especialistas do Centro de Coordenação CERT (CERT/CC) lançaram um bot especial no Twitter, Vulnônimo, que irá “inventar” nomes aleatórios e maximamente neutros para vulnerabilidades que receberam identificadores CVE.
Esta ideia nasceu de intermináveis discussões sobre “as vulnerabilidades devem ter nomes?”
Por muitas décadas, MITRE tem atribuído identificadores CVE a vulnerabilidades no formato padrão CVE-[ANO] – [NÚMERO], por exemplo CVE-2019-0708. Esses CVEs são usados por software de segurança para identificar bugs, rastrear e monitorar problemas para fins estatísticos, mas os humanos realmente usam CVEs.
Ao longo dos anos, os especialistas em segurança cibernética perceberam que seu trabalho na descoberta de vulnerabilidades pode se perder em um fluxo constante de CVEs difíceis de lembrar. Portanto, empresas e pesquisadores começaram a nomear suas vulnerabilidades para se destacarem da multidão e serem lembrados. Os exemplos mais famosos disso são espectro, Colapso, Vaca Suja, Logon zero, Sangramento cardíaco, BlueKeep, SIGRed, BLUR Dente, DejaBlue e Medo do palco vulnerabilidades.
Os especialistas do CERT acreditam que com o tempo, esta prática passou para o estágio de intimidação e se transformou em uma jogada de marketing para atrair a atenção.
A situação às vezes chega ao absurdo. Por exemplo, no ano passado, uma vulnerabilidade encontrada pela Cisco foi nomeada usando três emojis e também é conhecida como Thrangrycat (“Três gatos irritados“).
Na tentativa de mitigar a situação, Especialistas CERT criaram Vulnonym, que dará aos bugs codinomes neutros, consistindo em duas palavras no formato adjetivo-substantivo.
Metcalfe explica que as pessoas só precisam de nomes fáceis de lembrar para descrever bugs, porque “as pessoas não são boas em lembrar números,” como aqueles usados como identificadores CVE. Então, uma pessoa se lembrará facilmente de google.com, mas não o endereço IP em que este site está hospedado.
Deixe-me lembrá-lo de que os especialistas do NortonLifeLock desenvolveu uma ferramenta gratuita de detecção de bot no Twitter.