Kevésbé szenzációhajhász sérülékenység elnevezésekért kampányol a CERT/CC

 

A Carnegie Mellon Egyetem CERT Coordination Centere (CERT/CC) egy Twitter bot formájában (vulnonym) új kezdeményezést indított, amely a feleslegesen ijesztő elnevezések helyett véletlenszerű neveket rendel a biztonsági hibákhoz. A lényegesebb sérülékenységek azonosítására évtizedek óta szolgál a MITRE Corporation által gondozott Common Vulnerabilities and Exposures (CVE) rendszer. Az ebben kiosztott egyedi azonosítókat ─ mint például: CVE-2019-0708 ─ azonban nehéz fejben tartani, ezért a biztonsági iparág szereplői a felfedezett hibák súlyosságának érzékeltetéséhez elkezdtek könnyen megjegyezhető, jól hangzó neveket ─ például Spectre, Meltdown, Dirty Cow, Zerologon, Heartbleed, BlueKeep, BLESA, SIGRed, BLURTooth, DejaBlue, vagy a Stagefright ─ alkalmazni. Az idő előrehaladtával azonban az adott hiba jellegzetességei helyett egyre inkább ijesztő, vagy figyelemfelkeltő kifejezések jelentek meg. Utóbbira kiváló példa a Cisco által kiosztott ─ az adott hiba szempontjából teljesen irreleváns ─ három macskafej emojire utaló “Thrangrycat” (“three angry cats”) elnevezés. Ha ez nem volna elég, a bizarr elnevezések mellett a biztonsági cégek sok esetben egész marketing kampányt indítva saját logót, weboldalt, esetenként indulót készítenek, amelynek célja saját szolgáltatásaik és termékeik eredményességének hirdetése. A CERT/CC szerint a megjegyezhető nevek valóban fontosak, azonban célszerű elkerülni a nevetséges, sokszor túlzóan pánikkeltő elnevezéseket. Az ebből a célból létrehozott Twitter bot már publikusan elérhető.

(zdnet.com)