Специалисты координационного центра CERT (CERT/CC) запустили специального Twitter-бота, Vulnonym, который будет «придумывать» случайные и максимально нейтральные имена уязвимостям, получившим идентификаторы CVE. Эта идея родилась из нескончаемых дискуссий на тему «должны ли уязвимости иметь имена?».
Уже много десятков лет MITRE присваивает уязвимостям идентификаторы CVE, которые имеют стандартный формат CVE-[ГОД]-[НОМЕР], например CVE-2019-0708. Эти CVE используются защитным ПО для идентификации багов, отслеживания и мониторинга проблем в статистических целях, но CVE крайне редко применяются людьми.
С годами ИБ-специалисты поняли, что их труд по обнаружению уязвимостей может затеряться в постоянном потоке CVE, которые трудно запомнить. Поэтому компании и исследователи стали давать своим уязвимостям названия, чтобы выделиться из общего потока и запомниться. Наиболее известными примерами этого являются уязвимости Spectre, Meltdown, Dirty Cow, Zerologon, Heartbleed, BlueKeep, SIGRed, BLURTooth, DejaBlue, Stagefright.
Эксперты CERT считают, что со временем эта практика перешла в стадию запугивания и превратилась в маркетинговый ход с целью привлечения внимания. Из-за этого некоторые серьезные баги оставались почти незамеченными, так как не получили громких названий, тогда как практически неопасные ошибки получили много внимания от СМИ лишь потому, что имели громкие имена, собственные сайты, логотипы, а иногда даже с тематические песни. Ситуация порой действительно доходит до абсурда. Например, в прошлом году найденная Cisco уязвимость была названа с помощью трех эмодзи и также известна как Thrangrycat («Три злых кота»).
В попытке исправить ситуацию эксперты CERT создали Vulnonym, который будет давать багам нейтральные кодовые имена, состоящие из двух слов в формате прилагательное-существительное.
«Не каждая имеющая имя уязвимость является серьезной угрозой, хотя некоторые исследователи хотят, чтобы вы так думали, — пишет член CERT/CC Ли Меткалф. — Мы не утверждаем, что у уязвимостей не должно быть названий, на самом деле мы даже поощряем это! Наша цель — создавать нейтральные имена, которые позволят людям запоминать уязвимости, но не делать акцента на том, насколько страшна (или безобидна) конкретная проблема, о которой идет речь».
Меткалф объясняет, что людям просто нужны легко запоминающиеся термины для описания багов, ведь «люди плохо приспособлены для запоминания чисел», вроде тех, что используются как идентификаторы CVE. Так, человек спокойно запомнит google.com, но не IP-адрес, на котором размещен этот сайт.
