BIZIT 11 - prvi dan

CERT/CC lansira Twitter bot 

CERT/CC pokušava da smanji upotrebu senzacionalističkih naziva koji bespotrebno plaše korisnike softvera,pa je pokrenuo Twitter bot koji će dodeliti nasumična i neutralna imena svakom security bugu koji dobije CVE identifier.

PCPress.rs Image

Security bugs će dobijati nasumična imena

Nazvan Vulnonym, botom upravlja CERT koordinacioni centar (CERT/CC) na Univerzitetu Carnegie Mellon, prvi CERT tim stvoren i sada saradnik i partner zvaničnog US-CERT tima DHS-a. Ideja za ovog bota došla je nakon naizgled beskonačnih rasprava oko teme „da li ranjivosti treba da imaju imena?“ Decenijama je MITER Corporation dodelio CVE identifier svim glavnim sigurnosnim nedostacima. Ovaj ID je obično u formatu CVE- [GODINA] – [BROJ], kao što je CVE-2019-0708. Ove CVE ID-ove obično koristi security software za identifikovanje bugova, praćenje i nadgledanje bugova u statističke svrhe ili u svrhu izveštavanja, a CVE ID obični korisnici retko koriste na bilo koji smislen način.

Kompanije i istraživači shvatili su da su greške koje su otkrili imale više šansi da se istaknu ako je greška imala zvučno ime. Tako je nastala praksa „imenovanja grešaka“, a najpoznatiji primeri su Spectre, Meltdown, Dirty Cow, Zerologon, Heartbleed, BlueKeep, BLESA, SIGRed, BLURTooth, DejaBlue, ili Stagefright.

Pročitajte i:  Kako objaviti glasovni tvit na X-u: Vodič korak po korak

Ali kako je vreme prolazilo, neka imena su počela da odstupaju od opisivanja bezbednosne greške i ušla su u carstvo straha i traženja pažnje, postajući marketinška poteškoća. Stvari su prošle godine dosegle smešan nivo kada je Cisco greška imenovana pomoću tri emoji-mačke pod izgovorenim terminom Thrangrycat (aka “three angry cats”). Neke velike greške su ignorisane samo zato što su dobile ime, dok su neke druge greške privukle previše medijske pažnje samo zato što su imale zvučna imena, web sajt, logotip, a ponekad čak i tematske pesme.U blogu u petak, tim CERT/CC odlučio je da predloži rešenje za postavljanje reda u imenovanju ranjivosti.

Njihov odgovor je bio bot Vulnonym, koji će svakom novo dodeljenom ID-u CVE dodeliti kodno ime od dve reči u formatu pridev-imenica. „Nije svaka imenovana ranjivost ozbiljna ranjivost uprkos onome što neki istraživači žele da mislite“, rekla je Leigh Metcalf, članica CERT/CC tima. “Naš cilj je da stvorimo neutralna imena koja ljudima omogućavaju da pamte ranjivosti, a da pritom ne impliciraju koliko je zastrašujuća (ili ne) određena ranjivost u pitanju”, rekla je Metcalf.

Pročitajte i:  Alternativna rešenja: Lov na „sledeći Twitter“

Izvor: Zdnet

Facebook komentari:
Računari i Galaksija
Tagovi: ,